引子

该事件一开始源于 2025/10/23 日，x 上大 v @jsrailton 基于一篇帖子的回复，从字里行间可以看出疑似给五眼联盟开发相关网络武器的厂商 Trenchant 发生了信息泄露，提到网络武器的泄露，上一次大规模的网络武器泄露还是 2017 年 CIA Shadow Brokers 泄露事件，当时泄露的数据包含了大量的 0day，武器框架，以及美 方 CIA 内部的信息，其出现直接导致了整个网络安全行业的一次大升级，当时臭名昭著的 Wannacry 勒索就是其背后的技术产物，因此这则消息顿时便引起了奇安信威胁情报中心的关注。

10 月 23 日-被攻击的 iOS 0day 研究人员

@jsrailton 这篇帖子的原型其实来自于 Techrunch 的一篇文章 "apple-alerts-exploit-developer-that-his-iphone-was-targeted-with-government-spyware"

文中主角 Jay Gibson 本身是一名供职于 Trenchant 的 iOS 0day 研究人员，专门开发 iOS 平台相关的监控间谍软件，他于 2025/3/5 日收到了苹果的通知，苹果告知他“监测到针对您的 iPhone 的雇佣间谍软件攻击”，而这可能也成为了有记录以来第一个因开发漏洞和间谍软件而自己成为间谍软件攻击目标的案例。

这里需要补充下苹果的安全研究部门在发现了在野的 0day 或针对苹果的间谍软件攻击事件后会第一时间通知受害者，而有趣的是 Jay Gibson 并不是该公司唯一的受害者，该公司至少其余三位受害者都收到了相应的苹果公司安全通知。

看到这里大家可能会觉得这应该是一起针对网络武器供应商的 0day 攻击事件，但是事实上并非如此，原来 Jay Gibson 在收到该通知前一个月就已经被公司辞退，原因是 2 月 3 日其和总经理 Peter Williams 进行了一次谈话，Peter Williams 告诉 Jay Gibson，公司怀疑他被双重雇佣，因此对他进行了停职处理，并在两周的调查后将其辞退了。

事后 Jay Gibson 才从前同事的口中得知，应该是 Trenchant 内部开发的 Chrome 浏览器 0day 项目发生了泄露，因此公司将该责任推到了他身上，从而导致辞退，但是 Jay Gibson 认为自己本身是做 iOS 0day 相关开发的，和 Chrome 0day 项目完全没有交集，不可能是自己导致的泄露。

这里可以补充一下，一般这种安全研究团队，尤其是国防相关的，每一个相关方向的研究确实有着很高的隔离性，尤其是考虑到 0day 漏洞本身的威胁及重要价值。

看到这里我们整理所有的时间线，大致可以得出如下的一个顺序

到这里我们基本可以总结下这篇文章中的整个过程了，Trenchant 公司至少在 2 月前应该是受到了 iOS 相关的攻击，其受害者至少有 4 人，Trenchant 公司内部发生了至少一个 Chrome 0day 的数据泄露，iOS 0day 开发人员 Jay Gibson 之后被认为是泄露的元凶，在 2 月中旬被开除，目前看来其作为替罪羊的概率较大，至此似乎该事件已经总结完毕，但是从情报的角度，我们还可以继续深挖，可挖掘点就是 Jay Gibson 于 3 月 5 日收到苹果的通知。

一般来说苹果的系统被攻击，且苹果会发通知，这样的攻击事件必定是 0day 攻击，而苹果每个 0day 漏洞都会有对应的通告，如果 Jay Gibson 于 3 月 5 日收到苹果的通知，那 3 月份左右必定有相关的在野 0dya 修复，通过奇安信威胁情报中心漏洞情报相关信息可以看到苹果正好于 3 月 11 日左右发布了 webkit 在野利用的 0day CVE-2025-24201，这个事件和 Jay Gibson 于 3 月 5 日收到苹果的通知相差了 6 天，时间上基本吻合。

而熟悉 iOS 漏洞的读者应该明白，现代 iOS 漏洞利用基本上不可能只由一个单独的漏洞完成，因此基本上可以肯定如果苹果抓到了整个完整的利用链条，其相关的漏洞必将在三月前后修复，因此我们筛选出的 CVE-2025-24085，CVE-2025-24200 都有可能和本次事件相关。

结合奇安信威胁情报中心相关的情报可知，CVE-2025-24201 在野 0day 攻击事件在文章 “Glass Cage Attack: The Stealth Nation-State Backdoor” 中曾有相关的攻击披露，其攻击发生于 2024 年 12 月，攻击中使用到了 CVE-2025-24201 和 CVE-2025-24085，这里猜测可能还有 CVE-2025-24200，而文章该事件拉到了 NSO 的“飞马行动”或“三角行动”这一级别，这里如果结合该行动的受害者是 Trenchant 这样为五眼[]联盟开发网络武器的供应商，此定级也就名副其实了，有趣的是该文章也在发布后不久就被删除了。经过后续研判，该文章为llm生成的可能性较大。但是 Jay Gibson 被攻击时的漏洞和 CVE-2025-24085/CVE-2025-24200/CVE-2025-24201 确实应该是有联系。

此时我们再次更新整个时间线，自此整个事件似乎已经梳理完毕，Trenchant 遭到了攻击，并盗取了一些 0day 漏洞。

10 月 24 日-峰回路转 突现的卷宗

但是反转发生了在了第二天，2025/10/24 日，@carrot_c4k3 在 x 上发布了一个帖子，帖子中提到美一家公司似乎涉嫌向俄罗斯泄露漏洞数据，通过 @carrot_c4k3 的分享，我们找到了哥伦比亚特区地方法院于 2025/10/14 日归档的一个卷宗。

该案子中的核心内容如下，被告人 Peter Williams 将生成于 COMPANY ONE 和 COMPANY TWO 的商业秘密出售到美境外，尤其是出售给了俄罗斯买家，看到这个名字是否很熟悉？Peter Williams 这不就是前面 Trenchant 攻击案子中开除了 Jay Gibson 的公司总经理 Peter Williams 么？

其名下一百三十万美刀的财产被没收。

其中包含了房屋和不少珍贵的奢侈品。

这里很多同学可能会有疑问，此 Peter Williams 就是 Trenchant 中的 Peter Williams 么？这里一方面是名字确实相同，且之后 @jsrailton 在其 x 上甚至指出了其中不少证物就是当时交易的所得，作为 Citizenlab 的高级研究人员，@jsrailton 的消息渠道置信度很高。

此外就是一些奇安信威胁情报中心觉得该推断合理的理由，诉讼书中提到其出售的商业秘密生成并属于 COMPANY ONE 和 COMPANY TWO，也就是说这是一项由两个公司共同开发的项目数据，而 Trenchant 正好满足这一条件。

Trenchant 在 x 上的官号如下所示：

点击进入他的官方链接，可以看到其最终跳转到 https://www.l3harris.com/trenchant-articles。

L3Harris Technologies, Inc.（简称 L3Harris）是一家总部位于佛罗里达州墨尔本的全球性航空航天和国防技术创新公司，成立于 2019 年，由 L3 Technologies 和 Harris Corporation 合并而成。它是一家主要的美方国防承包商和信息技术服务提供商，专注于为政府、国防和商业领域提供端到端的技术解决方案，以应对快速变化的世界挑战。公司业务覆盖空中、陆地、海洋、太空和网络领域，需要特别注明的便是网络领域主要涉及的就是网络与情报工具，包括漏洞研究、零日漏洞开发和端点情报解决方案。

L3Harris 的使命是“快速前进”（Fast. Forward.），强调敏捷响应风险，提供可靠的国家安全解决方案。公司年收入规模巨大，是美方前十大政府承包商之一。

而 Trenchant 成立于 2018 年，L3 Technologies（L3Harris 的前身）收购了 Azimuth Security（成立于 2008 年，由软件安全专家 Mark Dowd 和 John McDonald 创立，擅长深度软件分析、威胁建模和源代码审查）和 Linchpin Labs（成立于 2007 年，由前情报官员创立，专注于跨平台低级系统开发和零日漏洞开发）联合组成，收购后，两家公司被合并为 Trenchant，这是一个精英团队，专攻计算机网络操作、漏洞研究和为政府（如五眼联盟情报机构）开发黑客与监视工具。

因此这里的 COMPANY ONE 和 COMPANY TWO 应该指的就是 L3Harris 和 Trenchant，尽管我们查到 Trenchant 成立于 2018 年，但是在完成收购后应该是在 2021 年左右才开始正式运营。

而在我们编写该文章的时候 Techcrunch 的最新文章 "US accuses former L3Harris cyber boss of stealing and selling secrets to Russian buyer" 也确认了卷宗里的 Peter Williams 就是 L3Harris 的网络主管，这里也能看到 Peter Williams 是 2024/10/23 成为的总经理，并于 2025/8/21 被辞退，而之前的替罪羊 Jay Gibson 也大概率是被误判辞退。

至此整个事件的脉络已经基本理清，其过程不仅涉及商业间谍，国家安全，0day 攻击，甚至还有金蝉脱壳，找替罪羊的悬疑剧情，可以说完美符合一个大片的剧情。

尾声

但是该事件具体的幕后攻击是谁，目前来说仍旧是一个谜团，具体泄露的数据就真全是 Peter Williams 兜售的？还是说攻击确实也导致了信息的泄露，这里我们倾向于 Jay Gibson 等人受到的攻击应该导致了实际的漏洞数据泄露，也就是 2024/12 月左右发生(毕竟苹果确实发布了告警通知)，而 Peter Williams 期间想通过推出 Jay Gibson 作为替罪羊将该事件平息，但是没想到最终调查的时候却发现了 Peter Williams 这个大内鬼，但是这里攻击的归属也是该案定性的一个决定因素，比如攻击也可以是来自 FBI 上层的内部取证。这里就不作过多无意义的臆想。

本文一开始提到 Shadow Brokers 泄露事件加剧了整个网络安全行业的一次大升级，而这次事件咋看之下似乎影响并没有那么严重，也没有任何泄露的 0day。但是该事件恶劣程度对于美方来说却并不小，因为这次事件，首先可以确定的是作为美方前十大政府承包商之一的 L3Harris 确实遭到了 0day 攻击，目前也不确认其泄露的数据规模，可能是大量的 0day 工具，其二美方前十大政府承包商之一的 L3Harris 内部甚至有内鬼在对外兜售 0day 数据，这对于政府承包商来说将带来巨大的公信力危机。

参考链接

[1].https://techcrunch.com/2025/10/21/apple-alerts-exploit-developer-that-his-iphone-was-targeted-with-government-spyware/

[2].https://storage.courtlistener.com/recap/gov.uscourts.dcd.285896/gov.uscourts.dcd.285896.1.0.pdf

[3].https://techcrunch.com/2025/10/23/u-s-government-accuses-former-l3harris-cyber-boss-of-stealing-trade-secrets/

[4].https://find-and-update.company-information.service.gov.uk/officers/MM6HsvOwfzBes-88T7OQD0ID4LM/appointments

[5].https://x.com/jsrailton/status/1980729390263595065

[6].https://x.com/carrot_c4k3/status/1981046493877350904

[7].http://web.archive.org/web/20250618065646/

[8].https://weareapartyof1.substack.com