引子

該事件一開始源于 2025/10/23 日，x 上大 v @jsrailton 基于一篇帖子的回復，從字里行間可以看出疑似給五眼聯盟開發相關網絡武器的廠商 Trenchant 發生了信息泄露，提到網絡武器的泄露，上一次大規模的網絡武器泄露還是 2017 年 CIA Shadow Brokers 泄露事件，當時泄露的數據包含了大量的 0day，武器框架，以及美 方 CIA 內部的信息，其出現直接導致了整個網絡安全行業的一次大升級，當時臭名昭著的 Wannacry 勒索就是其背后的技術產物，因此這則消息頓時便引起了奇安信威脅情報中心的關注。

10 月 23 日-被攻擊的 iOS 0day 研究人員

@jsrailton 這篇帖子的原型其實來自于 Techrunch 的一篇文章 "apple-alerts-exploit-developer-that-his-iphone-was-targeted-with-government-spyware"

文中主角 Jay Gibson 本身是一名供職于 Trenchant 的 iOS 0day 研究人員，專門開發 iOS 平臺相關的監控間諜軟件，他于 2025/3/5 日收到了蘋果的通知，蘋果告知他“監測到針對您的 iPhone 的雇傭間諜軟件攻擊”，而這可能也成為了有記錄以來第一個因開發漏洞和間諜軟件而自己成為間諜軟件攻擊目標的案例。

這里需要補充下蘋果的安全研究部門在發現了在野的 0day 或針對蘋果的間諜軟件攻擊事件后會第一時間通知受害者，而有趣的是 Jay Gibson 并不是該公司唯一的受害者，該公司至少其余三位受害者都收到了相應的蘋果公司安全通知。

看到這里大家可能會覺得這應該是一起針對網絡武器供應商的 0day 攻擊事件，但是事實上并非如此，原來 Jay Gibson 在收到該通知前一個月就已經被公司辭退，原因是 2 月 3 日其和總經理 Peter Williams 進行了一次談話，Peter Williams 告訴 Jay Gibson，公司懷疑他被雙重雇傭，因此對他進行了停職處理，并在兩周的調查后將其辭退了。

事后 Jay Gibson 才從前同事的口中得知，應該是 Trenchant 內部開發的 Chrome 瀏覽器 0day 項目發生了泄露，因此公司將該責任推到了他身上，從而導致辭退，但是 Jay Gibson 認為自己本身是做 iOS 0day 相關開發的，和 Chrome 0day 項目完全沒有交集，不可能是自己導致的泄露。

這里可以補充一下，一般這種安全研究團隊，尤其是國防相關的，每一個相關方向的研究確實有著很高的隔離性，尤其是考慮到 0day 漏洞本身的威脅及重要價值。

看到這里我們整理所有的時間線，大致可以得出如下的一個順序

到這里我們基本可以總結下這篇文章中的整個過程了，Trenchant 公司至少在 2 月前應該是受到了 iOS 相關的攻擊，其受害者至少有 4 人，Trenchant 公司內部發生了至少一個 Chrome 0day 的數據泄露，iOS 0day 開發人員 Jay Gibson 之后被認為是泄露的元兇，在 2 月中旬被開除，目前看來其作為替罪羊的概率較大，至此似乎該事件已經總結完畢，但是從情報的角度，我們還可以繼續深挖，可挖掘點就是 Jay Gibson 于 3 月 5 日收到蘋果的通知。

一般來說蘋果的系統被攻擊，且蘋果會發通知，這樣的攻擊事件必定是 0day 攻擊，而蘋果每個 0day 漏洞都會有對應的通告，如果 Jay Gibson 于 3 月 5 日收到蘋果的通知，那 3 月份左右必定有相關的在野 0dya 修復，通過奇安信威脅情報中心漏洞情報相關信息可以看到蘋果正好于 3 月 11 日左右發布了 webkit 在野利用的 0day CVE-2025-24201，這個事件和 Jay Gibson 于 3 月 5 日收到蘋果的通知相差了 6 天，時間上基本吻合。

而熟悉 iOS 漏洞的讀者應該明白，現代 iOS 漏洞利用基本上不可能只由一個單獨的漏洞完成，因此基本上可以肯定如果蘋果抓到了整個完整的利用鏈條，其相關的漏洞必將在三月前后修復，因此我們篩選出的 CVE-2025-24085，CVE-2025-24200 都有可能和本次事件相關。

結合奇安信威脅情報中心相關的情報可知，CVE-2025-24201 在野 0day 攻擊事件在文章 “Glass Cage Attack: The Stealth Nation-State Backdoor” 中曾有相關的攻擊披露，其攻擊發生于 2024 年 12 月，攻擊中使用到了 CVE-2025-24201 和 CVE-2025-24085，這里猜測可能還有 CVE-2025-24200，而文章該事件拉到了 NSO 的“飛馬行動”或“三角行動”這一級別，這里如果結合該行動的受害者是 Trenchant 這樣為五眼[]聯盟開發網絡武器的供應商，此定級也就名副其實了，有趣的是該文章也在發布后不久就被刪除了。

此時我們再次更新整個時間線，自此整個事件似乎已經梳理完畢，Trenchant 遭到了 Glass Cage 行動的攻擊，并盜取了一些 0day 漏洞。

10 月 24 日-峰回路轉 突現的卷宗

但是反轉發生了在了第二天，2025/10/24 日，@carrot_c4k3 在 x 上發布了一個帖子，帖子中提到美一家公司似乎涉嫌向俄羅斯泄露漏洞數據，通過 @carrot_c4k3 的分享，我們找到了哥倫比亞特區地方法院于 2025/10/14 日歸檔的一個卷宗。

該案子中的核心內容如下，被告人 Peter Williams 將生成于 COMPANY ONE 和 COMPANY TWO 的商業秘密出售到美境外，尤其是出售給了俄羅斯買家，看到這個名字是否很熟悉？Peter Williams 這不就是前面 Trenchant 攻擊案子中開除了 Jay Gibson 的公司總經理 Peter Williams 么？

其名下一百三十萬美刀的財產被沒收。

其中包含了房屋和不少珍貴的奢侈品。

這里很多同學可能會有疑問，此 Peter Williams 就是 Trenchant 中的 Peter Williams 么？這里一方面是名字確實相同，且之后 @jsrailton 在其 x 上甚至指出了其中不少證物就是當時交易的所得，作為 Citizenlab 的高級研究人員，@jsrailton 的消息渠道置信度很高。

此外就是一些奇安信威脅情報中心覺得該推斷合理的理由，訴訟書中提到其出售的商業秘密生成并屬于 COMPANY ONE 和 COMPANY TWO，也就是說這是一項由兩個公司共同開發的項目數據，而 Trenchant 正好滿足這一條件。

Trenchant 在 x 上的官號如下所示：

點擊進入他的官方鏈接，可以看到其最終跳轉到 https://www.l3harris.com/trenchant-articles。

L3Harris Technologies, Inc.（簡稱 L3Harris）是一家總部位于佛羅里達州墨爾本的全球性航空航天和國防技術創新公司，成立于 2019 年，由 L3 Technologies 和 Harris Corporation 合并而成。它是一家主要的美方國防承包商和信息技術服務提供商，專注于為政府、國防和商業領域提供端到端的技術解決方案，以應對快速變化的世界挑戰。公司業務覆蓋空中、陸地、海洋、太空和網絡領域，需要特別注明的便是網絡領域主要涉及的就是網絡與情報工具，包括漏洞研究、零日漏洞開發和端點情報解決方案。

L3Harris 的使命是“快速前進”（Fast. Forward.），強調敏捷響應風險，提供可靠的國家安全解決方案。公司年收入規模巨大，是美方前十大政府承包商之一。

而 Trenchant 成立于 2018 年，L3 Technologies（L3Harris 的前身）收購了 Azimuth Security（成立于 2008 年，由軟件安全專家 Mark Dowd 和 John McDonald 創立，擅長深度軟件分析、威脅建模和源代碼審查）和 Linchpin Labs（成立于 2007 年，由前情報官員創立，專注于跨平臺低級系統開發和零日漏洞開發）聯合組成，收購后，兩家公司被合并為 Trenchant，這是一個精英團隊，專攻計算機網絡操作、漏洞研究和為政府（如五眼聯盟情報機構）開發黑客與監視工具。

因此這里的 COMPANY ONE 和 COMPANY TWO 應該指的就是 L3Harris 和 Trenchant，盡管我們查到 Trenchant 成立于 2018 年，但是在完成收購后應該是在 2021 年左右才開始正式運營。

而在我們編寫該文章的時候 Techcrunch 的最新文章 "US accuses former L3Harris cyber boss of stealing and selling secrets to Russian buyer" 也確認了卷宗里的 Peter Williams 就是 L3Harris 的網絡主管，這里也能看到 Peter Williams 是 2024/10/23 成為的總經理，并于 2025/8/21 被辭退，而之前的替罪羊 Jay Gibson 也大概率是被誤判辭退。

至此整個事件的脈絡已經基本理清，其過程不僅涉及商業間諜，國家安全，0day 攻擊，甚至還有金蟬脫殼，找替罪羊的懸疑劇情，可以說完美符合一個大片的劇情。

尾聲

但是該事件具體的幕后攻擊是誰，目前來說仍舊是一個謎團，具體泄露的數據就真全是 Peter Williams 兜售的？還是說攻擊確實也導致了信息的泄露，這里我們傾向于 Jay Gibson 等人受到的攻擊應該導致了實際的漏洞數據泄露，也就是 2024/12 月左右發生(畢竟蘋果確實發布了告警通知)，而 Peter Williams 期間想通過推出 Jay Gibson 作為替罪羊將該事件平息，但是沒想到最終調查的時候卻發現了 Peter Williams 這個大內鬼，但是這里攻擊的歸屬也是該案定性的一個決定因素，比如攻擊也可以是來自 FBI 上層的內部取證。這里就不作過多無意義的臆想。

本文一開始提到 Shadow Brokers 泄露事件加劇了整個網絡安全行業的一次大升級，而這次事件咋看之下似乎影響并沒有那么嚴重，也沒有任何泄露的 0day。但是該事件惡劣程度對于美方來說卻并不小，因為這次事件，首先可以確定的是作為美方前十大政府承包商之一的 L3Harris 確實遭到了 0day 攻擊，目前也不確認其泄露的數據規模，可能是大量的 0day 工具，其二美方前十大政府承包商之一的 L3Harris 內部甚至有內鬼在對外兜售 0day 數據，這對于政府承包商來說將帶來巨大的公信力危機。