تم الكشف عن أن أداة الهجوم المستخدمة في عملية قرصنة واسعة النطاق تستهدف مستخدمي iPhone في أوكرانيا والصين قد جاءت على الأرجح من مشروع داخلي للمقاول العسكري الأمريكي L3Harris. وكانت هذه الأداة مخصصة في الأصل لوكالات الاستخبارات الغربية، ولكنها وقعت في نهاية المطاف في أيدي وكالات الاستخبارات الروسية ومجموعات الجريمة السيبرانية الصينية، مما أثار مخاوف متزايدة بشأن خطر تسرب الأسلحة السيبرانية الصناعية العسكرية.

كشفت جوجل الأسبوع الماضي أنها اكتشفت مجموعة أدوات متطورة لهجوم آيفون تم استخدامها في جولات متعددة من الهجمات العالمية في عام 2025. تتكون مجموعة الأدوات، التي أطلق عليها مطوروها الأصليون اسم "كورونا"، من 23 مكونًا مختلفًا وتم استخدامها لأول مرة من قبل عميل حكومي لم يذكر اسمه في "عمليات شديدة الاستهداف"، ثم من قبل جواسيس مدعومين من الحكومة الروسية ضد عدد صغير من الأهداف الأوكرانية، وفي النهاية بواسطة مجرمي الإنترنت الصينيين في عملية واسعة النطاق لسرقة الأموال والعملات المشفرة. وتوصل تحليل مستقل أجرته شركة iVerify لأمن الأجهزة المحمولة إلى أنه من المحتمل أن تكون الأداة قد تم تطويرها في الأصل بواسطة شركة تبيع المنتجات للحكومة الأمريكية.

وأكد اثنان من الموظفين السابقين الذين عملوا في شركة Trenchant، ذراع تكنولوجيا القرصنة والمراقبة لشركة L3Harris، لوسائل الإعلام أن بعض مكونات كورونا على الأقل تم تطويرها بواسطة شركة Trenchant، وكلاهما كان على اتصال مباشر بأدوات هجوم iPhone التي طورتها الشركة. وقال الشخصان، اللذان طلبا عدم الكشف عن هويتهما، إن "كورونا هو بالفعل الاسم الرمزي لمكون داخلي"، وقالا إن التفاصيل الفنية التي كشفت عنها جوجل كانت "مألوفة للغاية". قال أحد الموظفين السابقين إن فيروس كورونا كان أحد المكونات والثغرات العديدة المدرجة في مجموعة أدوات Trenchant الشاملة.

تظهر المعلومات العامة أن L3Harris تبيع أدوات القرصنة والمراقبة من خلال شركة Trenchant إلى الحكومة الأمريكية وحلفائها في "العيون الخمس"، ويقتصر عملاؤها على وكالات الاستخبارات في الولايات المتحدة والمملكة المتحدة وكندا وأستراليا ونيوزيلندا. وفي ظل فرضية أن العملاء مقيدون للغاية، فمن المرجح أن يتم شراء كورونا واستخدامه أولاً من قبل وكالة المخابرات في إحدى الدول، ثم تسربت بطريقة ما ودخلت إلى أيدي جهات فاعلة أخرى. من غير الواضح بالضبط مقدار التعليمات البرمجية الموجودة في مجموعة أدوات Coruna المكشوفة التي تأتي مباشرة من L3Harris Trenchant.

ويشبه مسار الانتشار العابر للحدود لفيروس كورونا إلى حد كبير حالة المدير العام السابق لشركة ترينشانت بيتر ويليامز الذي قام بتسريب الأسلحة السيبرانية. وفقًا للسجلات العامة، بين عامي 2022 ومنتصف 2025، باع ويليامز ثماني أدوات هجومية من طراز Trenchant لشركة Operation Zero الروسية، وكسب ما يقرب من 1.3 مليون دولار. واتهمته الحكومة الأمريكية باستخدام "الوصول الكامل" إلى شبكة إنترانت ترينشانت لسرقة الأدوات التي يمكن أن تهاجم "ملايين أجهزة الكمبيوتر والأجهزة حول العالم"، واعتبرت "خيانة" للولايات المتحدة وحلفائها. حُكم على ويليامز بالسجن سبع سنوات في فبراير/شباط، ووافقت وزارة الخزانة الأمريكية على "العملية صفر".

كشفت وزارة الخزانة الأمريكية أن العملية صفر زعمت أنها تعمل فقط مع الحكومة الروسية والشركات المحلية، لكن المسؤولين قرروا أنها باعت الأدوات التي سرقتها ويليامز إلى "مستخدم واحد غير مصرح به" على الأقل. وكشف تحقيق جوجل أن منظمة التجسس الروسية UNC6353 حصلت على كورونا من خلال قنوات غير معروفة وزرعته في مواقع أوكرانية مخترقة لاستهداف مستخدمين من مواقع جغرافية محددة يستخدمون هواتف آيفون للوصول إلى هذه المواقع. ويعتقد بعض المحللين أنه بعد أن تعيد عملية "العملية صفر" بيعها إلى المسؤولين الروس، فإنها قد تستمر في إعادة بيع الأدوات إلى وسطاء أو دول أخرى، أو حتى بشكل مباشر إلى مجموعات الجريمة السيبرانية. وذكرت لائحة الاتهام الأمريكية أيضًا أن أعضاء عصابة برامج الفدية Trickbot تعاونوا مع Operation Zero، وربطوا الوسيط بشبكة من المتسللين الذين يسعون لتحقيق مكاسب مالية.

ووفقا للمدعين العامين الأمريكيين، تعرف ويليامز على الكود الذي كتبه وباعه لعملية "العملية صفر"، والتي ظهرت فيما بعد في أيدي وسيط كوري جنوبي. يوفر هذا أيضًا مسارًا محتملاً لكيفية انتقال فيروس كورونا إلى المتسللين الصينيين: في جولات متعددة من إعادة البيع وإعادة استخدام التعليمات البرمجية، انتشرت الأداة تدريجيًا من دائرة الاستخبارات الحكومية إلى النظام البيئي الأوسع للقراصنة.

وأشار باحثو جوجل إلى أنه تم استخدام مكونين محددين للاستغلال في كورونا، هما "فوتون" و"غاليوم"، كأسلحة ثغرة يوم الصفر في عملية هجومية متطورة تسمى "عملية التثليث" ("عملية المثلث")، والتي يعتقد أنها تستهدف مستخدمي آيفون في روسيا. كشفت Kaspersky Lab لأول مرة عن عملية Triangle في عام 2023. وقال روكي كول، المؤسس المشارك لـ iVerify، إنه بناءً على المعلومات العامة الحالية، فإن "التفسير الأكثر منطقية" هو أن المطور والعميل الأصليين لـ Coruna هما Trenchant والحكومة الأمريكية على التوالي، لكنه أكد أن هذا الحكم ليس "قاطعًا تمامًا" بعد.

يعتمد حكم كول على ثلاث نقاط: أولاً، يتداخل الجدول الزمني لاستخدام كورونا بشكل كبير مع قضية تسريب ويليامز؛ ثانيًا، هيكل الوحدات الثلاث الرئيسية في كورونا، "البلازما" و"الفوتون" و"الجاليوم"، يشبه إلى حد كبير الوحدات التي لوحظت في "عملية المثلث"؛ ثالثًا، تعيد كورونا استخدام بعض رموز الهجوم التي تم استخدامها في تلك العملية. وكشف أيضًا أن معلومات من "أشخاص مقربين من مجتمع الدفاع" زعمت أن وحدة "البلازما" قد تم استخدامها أيضًا في "عملية المثلث"، لكن لا يوجد حاليًا أي دليل عام يدعم ذلك. كان كول نفسه يعمل في وكالة الأمن القومي (NSA).

يظهر التحليل الفني الذي أجرته Google وiVerify أن كورونا مصمم لمهاجمة أجهزة iPhone التي تعمل بنظام iOS 13 إلى iOS 17.2.1، ويغطي سلسلة من إصدارات النظام التي تم إصدارها في الفترة من سبتمبر 2019 إلى ديسمبر 2023. وتتزامن هذه الفترة الزمنية أيضًا مع الجدول الزمني لأدوات ويليامز المسربة واكتشاف عملية المثلث. وأشار موظف سابق في شركة Trenchant إلى أنه عندما كشفت Kaspersky لأول مرة عن "Operation Triangle" في عام 2023، اعتقد العديد من الأشخاص داخل الشركة أن واحدة على الأقل من ثغرات يوم الصفر التي تم التقاطها "جاءت منا" وربما تم "تجريدها" من المشروع الشامل الذي شمل كورونا ووضعها قيد الاستخدام.

كما أشار الباحث الأمني ​​كوستين رايو على منصات التواصل الاجتماعي إلى أن العديد من مكونات أداة كورونا تحمل أسماء طيور، مثل Cassowary وTerrorbird وBluebird وJacurutu وSparrow وغيرها، وهو ما يرتبط ضمنيًا بالتراث التقني لشركة Trenchant. في وقت مبكر من عام 2021، ذكرت صحيفة واشنطن بوست أن Azimuth، وهي شركة أمنية استحوذت عليها L3Harris لاحقًا ودمجتها في Trenchant، باعت أداة لاختراق iPhone تسمى Condor إلى مكتب التحقيقات الفيدرالي، والتي تم استخدامها لفتح iPhone في حادث إطلاق النار الشهير في سان برناردينو.

وبعد الكشف عن "عملية المثلث"، اتهم جهاز الأمن الفيدرالي الروسي (FSB) وكالة الأمن القومي الأمريكية باستخدام الأداة لاختراق "الآلاف من أجهزة iPhone" في روسيا، مع التركيز على أهداف مثل الدبلوماسيين. وقالت كاسبيرسكي في ذلك الوقت إنها ليست على علم بتفاصيل اتهامات جهاز الأمن الفيدرالي، لكنها أشارت إلى أن "مؤشرات التسوية" التي كشف عنها المركز الوطني الروسي لتنسيق الحوادث السيبرانية (NCCCI) كانت متسقة مع الأدلة التي حددتها كاسبرسكي من قبل. ومع ذلك، قال بوريس لارين، الباحث الأمني ​​في كاسبرسكي، إنه حتى بعد البحث المكثف، لا يزال من غير الممكن نسب "عملية المثلث" إلى أي مجموعة معروفة للتهديدات المتقدمة المستمرة (APT) أو شركة تطوير الثغرات الأمنية.

وأوضح لارين أن السبب وراء ربط جوجل لفيروس كورونا بعملية المثلث هو استغلال كلاهما لنفس نقاط الضعف، فوتون وجاليوم. ومع ذلك، فإن مشاركة الثغرة الأمنية وحدها لا تكفي لإكمال الإسناد، لأن تفاصيل هاتين الثغرتين كانت علنية منذ فترة طويلة، ويمكن لأي طرف تطوير سلسلة هجوم خاصة به بناءً على ذلك. وشدد على أن هاتين الضعفتين الشائعتين هما "مجرد غيض من فيض". ومن الجدير بالذكر أنه على الرغم من أن كاسبرسكي لم تتهم علنًا حكومة الولايات المتحدة بالوقوف وراء عملية المثلث، إلا أن شعار Apple المكون من مثلثات متعددة صممتها الشركة لهذه العملية يشبه بصريًا شعار العلامة التجارية L3Harris. يعتقد بعض الأشخاص أن هذه تقنية "تلميح مرئي" شائعة الاستخدام بواسطة Kaspersky.

ويبدو أن ممارسات Kaspersky السابقة تؤكد هذه التكهنات. وفي عام 2014، كشفت الشركة عن مجموعة قرصنة حكومية رفيعة المستوى تسمى "Careto" (أي "القناع"). ذكرت فقط أن المهاجمين كانوا باللغة الإسبانية، لكن الرسم التوضيحي للقناع المستخدم في التقرير أضاف اللونين الأحمر والأصفر للعلم الإسباني، وقرون الثور، وحلقات الأنف، والصنجات وعناصر أخرى، وهو ما اعتبر أنه يشير ضمنًا إلى أن المهاجمين كانوا على صلة بالحكومة الإسبانية. وكما نقلت تقارير لاحقة عن مصادر مطلعة في كاسبرسكي، فإن فريق البحث يعتقد بشكل خاص أنه "ليس هناك شك" في أن عملية Careto كانت بقيادة الحكومة الإسبانية.

كما دفع الجدل الدائر حول كورونا إلى استمرار التتبع الإعلامي. قال مراسل الأمن السيبراني باتريك جراي في برنامج "Risky Business" هذا الأسبوع إن ويليامز باع عملية Zero نفس إطار الهجوم المستخدم في "Operation Triangle" استنادًا إلى "معلومات استخباراتية مجزأة" كانت لديه وكان واثقًا منها. في الوقت الحالي، لم تستجب شركات Apple وGoogle وKaspersky وOperation Zero علنًا لهذه المشكلة.