كشفت تقارير تقنية جديدة عن حملة اختراق كبيرة استهدفت مستخدمي هواتف آيفون في أوكرانيا والصين، حيث تم استخدام أدوات متقدمة يُعتقد أنها طُورت في الأصل من قبل شركة L3Harris Technologies الأمريكية، والتي أصبحت لاحقًا في أيدي مجموعات قرصنة مختلفة، بما في ذلك جهات مرتبطة بالحكومة الروسية ومجرمون إلكترونيون في الصين.
في الأسبوع الماضي، أعلنت جوجل أنها رصدت استخدام مجموعة متطورة من أدوات اختراق هواتف آيفون في هجمات عالمية خلال عام 2025، وتعرف هذه الحزمة باسم “Coruna” وتتكون من 23 أداة أو مكون تقني، حيث تم استخدامها في البداية في عمليات تجسس دقيقة لصالح جهة حكومية غير محددة عبر شركة متخصصة في تقنيات المراقبة.
بحسب التقرير، استخدمت هذه الأدوات لاحقًا من قبل جواسيس روس لاستهداف عدد محدود من المستخدمين الأوكرانيين، قبل أن تنتقل إلى مجرمين إلكترونيين صينيين استخدموها في هجمات واسعة بهدف سرقة الأموال والعملات الرقمية.
ارتباط بالأدوات الأمريكية
باحثون في شركة الأمن السيبراني iVerify أجروا تحليلًا مستقلًا للأداة ورجحوا أنها طُورت في الأصل من قبل شركة قامت ببيعها للحكومة الأمريكية، كما أفاد موظفان سابقان في L3Harris Technologies لموقع “تيك كرانش” بأن أداة Coruna طُورت جزئيًا داخل قسم تقنيات الاختراق والمراقبة المعروف باسم Trenchant، وأشار أحد الموظفين السابقين إلى أن اسم Coruna كان بالفعل اسمًا داخليًا لأحد مكونات النظام، مؤكدًا أن التفاصيل التقنية التي كشفت عنها جوجل كانت مألوفة للغاية بالنسبة له.
تبيع L3Harris أدوات الاختراق الخاصة بوحدة Trenchant حصريًا للحكومة الأمريكية وحلفائها في تحالف الاستخبارات المعروف باسم Five Eyes، الذي يضم الولايات المتحدة وأستراليا وكندا ونيوزيلندا والمملكة المتحدة.
كيف وصلت الأدوات إلى القراصنة؟
لا تزال الطريقة التي انتقلت بها هذه الأدوات من متعاقد حكومي إلى جهات قرصنة غير واضحة، لكن بعض الملابسات تشير إلى قضية الموظف السابق في الشركة بيتر ويليامز، حيث قام بين عامي 2022 و2025 ببيع ثماني أدوات اختراق تابعة للشركة إلى شركة روسية تدعى Operation Zero، المعروفة بدفع ملايين الدولارات مقابل ثغرات أمنية غير مكتشفة، وفي الشهر الماضي، حكمت محكمة بسجن ويليامز سبع سنوات بعد اعترافه بسرقة هذه الأدوات وبيعها مقابل نحو 1.3 مليون دولار.
ذكرت الحكومة الأمريكية أنه استغل صلاحياته الكاملة داخل شبكة الشركة للوصول إلى الأدوات وتسريبها، ما قد يتيح للمستخدمين اختراق ملايين الأجهزة حول العالم، ووفقًا لوزارة الخزانة الأمريكية، فإن شركة Operation Zero – التي فرضت عليها عقوبات مؤخرًا – باعت بعض هذه الأدوات لاحقًا لمستخدمين غير مصرح لهم، وهو ما قد يفسر وصولها إلى مجموعة تجسس روسية تعرف باسم UNC6353، وقد استخدمت هذه المجموعة الأداة لاختراق مواقع أوكرانية مستهدفة مستخدمي آيفون الذين يزورون هذه المواقع من مواقع جغرافية محددة.
من التجسس إلى الجريمة الإلكترونية
يرجح الباحثون أن الأداة انتقلت لاحقًا إلى وسطاء آخرين أو جهات مختلفة، قبل أن تصل في النهاية إلى مجموعات قرصنة صينية استخدمتها في حملات واسعة لسرقة الأموال والعملات الرقمية، وتشير تحليلات تقنية إلى أن حزمة Coruna كانت قادرة على اختراق هواتف آيفون التي تعمل بإصدارات نظام iOS من iOS 13 وحتى iOS 17.2.1، وهي إصدارات صدرت بين عامي 2019 و2023.
ارتباط بعملية اختراق شهيرة
ربط باحثون في جوجل بين بعض أدوات Coruna وهجوم سيبراني معقد عرف باسم Operation Triangulation، والذي كشفت عنه شركة “كاسبرسكي” عام 2023 بعد استهداف مستخدمي آيفون في روسيا، ومع ذلك، أكد باحثو كاسبرسكي أنهم لم يتمكنوا من نسب الهجوم بشكل قاطع إلى جهة محددة، مشيرين إلى أن استغلال الثغرات الأمنية المستخدمة في الهجوم أصبح معروفًا علنًا، مما يعني أن أي جهة قد تستفيد منها، في المقابل، يعتقد بعض الخبراء في مجال الأمن السيبراني أن الأدلة التقنية المتوافرة تشير إلى أن أدوات Coruna ربما كانت جزءًا من مشروع أكبر لتطوير أدوات اختراق متقدمة قبل أن تتسرب إلى جهات متعددة حول العالم.