Il a été révélé qu'un outil d'attaque utilisé dans une opération de piratage à grande échelle ciblant les utilisateurs d'iPhone en Ukraine et en Chine provenait probablement d'un projet interne de l'entrepreneur militaire américain L3Harris. L’outil a été initialement adapté aux agences de renseignement occidentales, mais est finalement tombé entre les mains des agences de renseignement russes et des groupes cybercriminels chinois, suscitant une inquiétude accrue quant au risque de fuite de cyber-armes militaro-industrielles.

Google a révélé la semaine dernière avoir découvert une boîte à outils d'attaque sophistiquée sur iPhone utilisée dans plusieurs séries d'attaques mondiales en 2025. La boîte à outils, nommée « Coruna » par ses développeurs d'origine, se compose de 23 composants différents et a d'abord été utilisée par un client gouvernemental anonyme dans des « opérations hautement ciblées », puis par des espions soutenus par le gouvernement russe contre un petit nombre de cibles ukrainiennes, et enfin par des cybercriminels chinois dans une opération à grande échelle visant à voler des fonds et des cryptomonnaies. Une analyse indépendante réalisée par la société de sécurité mobile iVerify a déterminé que l'outil avait probablement été développé à l'origine par une société qui vend des produits au gouvernement américain.

Deux anciens employés qui travaillaient chez Trenchant, la branche technologique de piratage et de surveillance de L3Harris, ont confirmé aux médias qu'au moins certains composants de Coruna avaient été développés par Trenchant et qu'ils avaient tous deux un contact direct avec les outils d'attaque iPhone développés par l'entreprise. Les deux personnes, qui ont requis l'anonymat, ont déclaré que "Coruna est bien le nom de code d'un composant interne" et ont déclaré que les détails techniques divulgués par Google étaient "très familiers". L'un des anciens employés a déclaré que Coruna était l'un des nombreux composants et exploits inclus dans la boîte à outils globale de Trenchant.

Les informations publiques montrent que L3Harris vend des outils de piratage et de surveillance via Trenchant au gouvernement américain et à ses alliés des « Five Eyes », avec des clients limités aux agences de renseignement des États-Unis, du Royaume-Uni, du Canada, de l'Australie et de la Nouvelle-Zélande. En partant du principe que les clients sont très restreints, Coruna est très probablement d'abord acheté et utilisé par l'agence de renseignement de l'un des pays, puis a été divulgué d'une manière ou d'une autre et est entré entre les mains d'autres acteurs. On ne sait pas exactement quelle quantité de code dans l’ensemble d’outils Coruna exposé provient directement de L3Harris Trenchant.

La trajectoire de prolifération transnationale de La Corogne est très similaire au cas de l’ancien directeur général de Trenchant, Peter Williams, qui a divulgué des cyberarmes. Selon les archives publiques, entre 2022 et mi-2025, Williams a vendu huit outils d'attaque Trenchant à la société russe Operation Zero, gagnant environ 1,3 million de dollars. Le gouvernement américain l'a accusé d'avoir utilisé « l'accès complet » à l'intranet Trenchant pour voler des outils susceptibles d'attaquer « des millions d'ordinateurs et d'appareils dans le monde », ce qui a été considéré comme une « trahison » des États-Unis et de leurs alliés. Williams a été condamné à sept ans de prison en février et l'opération Zero a été sanctionnée par le département du Trésor américain.

Le département du Trésor américain a révélé qu'Operation Zero prétendait travailler uniquement avec le gouvernement russe et des entreprises nationales, mais les responsables ont déterminé qu'elle avait vendu les outils volés par Williams à au moins « un utilisateur non autorisé ». L'enquête de Google a révélé que l'organisation d'espionnage russe UNC6353 a obtenu Coruna par des canaux inconnus et l'a implanté dans des sites Web ukrainiens compromis pour cibler les utilisateurs de zones géographiques spécifiques qui utilisent des iPhones pour accéder à ces sites Web. Certains analystes estiment qu'après qu'Operation Zero l'aura revendu aux responsables russes, elle pourrait continuer à revendre les outils à d'autres courtiers, à d'autres pays, voire directement à des groupes cybercriminels. L'acte d'accusation américain mentionne également que des membres du gang de ransomwares Trickbot ont collaboré avec Operation Zero, reliant le courtier à un réseau de pirates informatiques à la recherche d'un gain financier.

Selon les procureurs américains, Williams a reconnu le code qu'il avait écrit et vendu à Operation Zero, qui s'est ensuite retrouvé entre les mains d'un intermédiaire sud-coréen. Cela fournit également une explication possible de la façon dont Coruna a fini par se retrouver entre les mains des pirates informatiques chinois : au cours de plusieurs cycles de revente et de réutilisation du code, l'outil s'est progressivement propagé du cercle des renseignements gouvernementaux à l'écosystème plus large des pirates.

Les chercheurs de Google ont souligné que deux composants d'exploit spécifiques à Coruna, nommés "Photon" et "Gallium", ont été utilisés comme armes de vulnérabilité Zero Day dans une opération d'attaque sophistiquée appelée "Opération Triangulation" ("Opération Triangle"), qui ciblerait les utilisateurs d'iPhone en Russie. Kaspersky Lab a divulgué pour la première fois l'opération Triangle en 2023. Le co-fondateur d'iVerify, Rocky Cole, a déclaré que, sur la base des informations publiques actuelles, « l'explication la plus raisonnable » est que le développeur et le client d'origine de Coruna sont respectivement Trenchant et le gouvernement américain, mais il a souligné que ce jugement n'est pas encore « absolument concluant ».

Le jugement de Cole repose sur trois points : premièrement, la chronologie de l'utilisation de Coruna chevauche fortement celle de l'affaire de fuite de Williams ; deuxièmement, la structure des trois modules majeurs de La Corogne, « Plasma », « Photon » et « Gallium », est très similaire aux modules observés dans « Opération Triangle » ; Troisièmement, Coruna réutilise certains codes d'attaque qui ont été utilisés lors de cette opération. Il a également révélé que des informations provenant de « personnes proches de la communauté de la défense » affirmaient que le module « Plasma » avait également été utilisé dans « l'Opération Triangle », mais il n'existe actuellement aucune preuve publique pour étayer cette hypothèse. Cole lui-même a travaillé pour la National Security Agency (NSA).

L'analyse technique de Google et d'iVerify montre que Coruna est conçu pour attaquer les iPhones exécutant iOS 13 à iOS 17.2.1, couvrant une série de versions du système publiées de septembre 2019 à décembre 2023. Cette période coïncide également avec la chronologie des outils divulgués par Williams et la découverte de l'opération Triangle. Un ancien employé de Trenchant a rappelé que lorsque Kaspersky a divulgué pour la première fois « l'Opération Triangle » en 2023, de nombreuses personnes au sein de l'entreprise pensaient qu'au moins une des vulnérabilités zero-day capturées « venait de nous » et aurait pu être « retirée » du projet global qui incluait Coruna et mise en service.

Le chercheur en sécurité Costin Raiu a également souligné sur les plateformes sociales que de nombreux composants de l'outil Coruna portent le nom d'oiseaux, tels que Cassowary, Terrorbird, Bluebird, Jacurutu, Sparrow, etc., ce qui est implicitement lié à l'héritage technique de Trenchant. Dès 2021, le Washington Post rapportait qu'Azimuth, une société de sécurité qui a ensuite été acquise par L3Harris et fusionnée avec Trenchant, avait vendu au FBI un outil de piratage d'iPhone appelé Condor, qui a été utilisé pour déverrouiller l'iPhone lors de la célèbre fusillade de San Bernardino.

Après que « l'opération Triangle » ait été révélée, le Service fédéral de sécurité (FSB) russe a accusé l'Agence de sécurité nationale américaine d'avoir utilisé cet outil pour pirater « des milliers d'iPhones » en Russie, en se concentrant sur des cibles telles que des diplomates. Kaspersky avait déclaré à l'époque qu'il n'était pas au courant des détails des accusations du FSB, mais a souligné que les "indicateurs de compromission" divulgués par le Centre national russe de coordination des incidents cybernétiques (NCCCI) étaient cohérents avec les preuves que Kaspersky avait précédemment identifiées. Cependant, Boris Larin, chercheur en sécurité chez Kaspersky, a déclaré que même après des recherches approfondies, « l'Opération Triangle » ne peut toujours pas être attribuée à un groupe connu de menaces persistantes avancées (APT) ou à une société de développement de vulnérabilités.

Larin a expliqué que la raison pour laquelle Google a associé Coruna à l'opération Triangle était que les deux exploitaient les mêmes vulnérabilités, Photon et Gallium. Cependant, le partage de la vulnérabilité ne suffit pas à lui seul pour finaliser l’attribution, car les détails de ces deux vulnérabilités sont publics depuis longtemps et n’importe quelle partie peut développer sa propre chaîne d’attaque sur cette base. Il a souligné que ces deux vulnérabilités communes ne sont « que la pointe de l’iceberg ». Il convient de mentionner que même si Kaspersky n'a jamais accusé publiquement le gouvernement américain d'être à l'origine de l'opération Triangle, le logo Apple composé de multiples triangles conçus par l'entreprise pour cette opération est visuellement similaire au logo de la marque L3Harris. Certaines personnes pensent qu'il s'agit d'une technique d'« indice visuel » couramment utilisée par Kaspersky.

Les pratiques passées de Kaspersky semblent confirmer cette spéculation. En 2014, la société a révélé l'existence d'un groupe de hackers gouvernementaux de haut niveau appelé « Careto » (qui signifie « Masque »). Il mentionnait seulement que les assaillants étaient en espagnol, mais l'illustration du masque utilisée dans le rapport ajoutait les couleurs rouge et jaune du drapeau espagnol, des cornes de taureau, des anneaux de nez, des castagnettes et d'autres éléments, ce qui impliquait que les assaillants étaient liés au gouvernement espagnol. Comme l'ont déclaré des sources internes de Kaspersky dans des rapports ultérieurs, l'équipe de recherche pensait en privé qu'il n'y avait « aucun doute » que Careto était une opération dirigée par le gouvernement espagnol.

La controverse autour de La Corogne a également suscité un suivi médiatique continu. Le journaliste en cybersécurité Patrick Gray a déclaré dans le podcast « Risky Business » de cette semaine que Williams avait vendu à Operation Zero exactement le même cadre d'attaque utilisé dans « Operation Triangle », basé sur des « renseignements fragmentaires » dont il disposait et dont il avait confiance. Actuellement, Apple, Google, Kaspersky et Operation Zero n'ont pas répondu publiquement à ce problème.