重刑犯与诈骗犯推销攻击性网络安全初创公司Felons, Fraudsters Flog Offensive Cybersecurity Startup
一家宣称斥资数百万美元收购流行软件零日漏洞的网络安全初创公司,被发现由两名极右翼阴谋论者和重刑犯运营。这两人的近期商业履历劣迹斑斑,包括使用化名运营虚假情报公司以及一家现已倒闭的基于 AI 的游说平台。这揭示了网络安全漏洞交易市场中存在的严重信任与背景审查风险。
一家以数百万美元为诱饵收购热门软件零日安全漏洞的网络安全初创公司,其实际经营者是一对极右翼阴谋论者和已定罪的重罪犯。他们最近的商业冒险包括使用化名经营的虚假情报公司和一个现已倒闭的基于 AI 的游说平台。
X/Twitter 账号 IRIS C2 (@C2IRIS) 自 2025 年 1 月创建以来已积累了超过 4,000 名关注者,经常发布有关安全漏洞、AI 和软件漏洞利用的内容。IRIS C2 自称是一家位于弗吉尼亚州麦克莱恩的公司,主要出售攻击性网络安全能力。
IRIS C2 网站以漏洞利用可能获得数百万美元报酬为诱饵来吸引人才。
“我们的商业模式是这样的,”IRIS C2 在 X 账号上的一篇置顶帖文中写道。“吸引世界上最顶尖的漏洞研究员和漏洞利用开发者加入我们的公司。这主要围绕那些具有极高天赋/极高智商的初级工程师展开。我们不在乎他们是否有大学学位/行业经验。”
该个人资料中链接的网站 —— irisc2[.]com —— 显示该公司正在招聘多个空缺职位,并且其 LinkedIn 页面上最近的一篇帖子对收到的大量潜在员工的申请感到兴奋。该网站声称 IRIS C2 的业务是收购“所有主要平台上的零日漏洞利用、独立原语、部分漏洞利用链以及完整的攻击能力。根据目标、可靠性和操作价值,报酬从 10,000 美元到 700 万美元不等。”
政府合同门户网站 g2exchange.com 的报告显示,irisc2[.]com 由一家位于弗吉尼亚州名为 Calvexa Group LLC 的企业运营。Calvexa Group 网站(calvexagroup[.]com)上的“联系我们”链接会将访问者重定向至 irisc2[.]com。G2Exchange 的数据显示,虽然 Calvexa Group LLC 注册为联邦承包商,但它似乎并未参与任何直接的政府合同。
对 Calvexa Group LLC 注册记录中列出的弗吉尼亚州阿灵顿地址进行搜索后发现,该房产由 60 岁的游说公司 Burkman & Associates 创始人兼管理合伙人 Jack Burkman 占用。当被问及有关 IRIS C2 的问题时,Burkman 将进一步的询问交给了他长期的合作伙伴、28 岁的 Jacob Wohl。
Jack Burkman(左)和 Jacob Wohl,在 2020 年 8 月的一次新闻发布会上。图片来源:维基百科。
Burkman 和 Wohl 有着创建虚假情报公司并利用它们散布虚假言论和陷害公众人物的劣迹斑斑的历史,其中包括捏造针对时任 FBI 局长 Robert Mueller 以及时任印第安纳州南本德市长、民主党总统候选人 Pete Buttigieg 的性侵指控。2019 年,Burkman 和 Wohl 举行新闻发布会,诬称参议员 Elizabeth Warren(马萨诸塞州民主党人)和当时的 2020 年总统候选人 Kamala Harris 有婚外情。
在 2020 年总统大选之后,Wohl 和 Burkman 因向摇摆州居民拨打数千个自动语音电话并散布有关邮寄选票的虚假言论,被美国多个州起诉。他们在克利夫兰被指控犯有 15 项重罪,罪名是策划旨在压制底特律黑人选票的自动语音电话阴谋,并且在他们要求驳回指控的上诉被驳回后,于 2025 年底被判处缓刑。
2022年,Wohl和Burkman在俄亥俄州对一项电信欺诈重罪指控认罪,并被判处罚款、缓刑和社区服务。2023年3月,纽约一起民事案件的法官裁定Wohl和Burkman违反了联邦和州的民权法,两人同意支付100万美元的和解金。
2023年6月,美国联邦通信委员会(FCC)因Wohl和Burkman的自动语音电话活动对他们处以510万美元的罚款,这是当时FCC根据《电话消费者保护法》开出的最大一笔罚单。
Jacob “Jay” Wohl 的 GitHub 账号。
在17岁时,Wohl已经创办了多家投资公司,并在2015年做客福克斯新闻讨论他的新对冲基金后,获得了“华尔街的Wohl”这一绰号。2017年,亚利桑那州公司委员会指控Wohl及其投资基金犯有14项证券欺诈罪,并责令其支付3.5万美元的赔偿金。2019年,Wohl在加利福尼亚州对四项出售未注册证券的重罪指控认罪,并被判处两年缓刑。
未知安全漏洞的市场一直充斥着形形色色的人,包括研究人员、学者、骗子、蹭热度者以及积极参与网络犯罪社区的人员。但是,向美国政府出售进攻性安全服务的市场往往要谨慎得多。许多政府承包商都在招募漏洞研究人员,并花钱购买新型软件漏洞利用的独家权利,但没有哪家公司像 IRIS C2 这样明目张胆和公开地这么做。
Twitter/X 账号 IRISC2 (@c2iris) 的近期帖子。
事实上,直到上个月 KrebsOnSecurity 才了解到 IRIS C2,当时一场地区网络安全会议的与会者透露,Wohl 和 Calvexa Group 在会议上一直缠着别人,试图推销他们的漏洞研究成果。
在接受 KrebsOnSecurity 采访时,Wohl 表示 Burkman 先生并未参与 IRIS C2 的日常运营。Wohl 透露,IRIS C2 最初是一家渗透测试公司,但最近将重点转向向政府出售电话黑客服务。在采访过程中,Wohl 先生多次提到正在处理联邦政府合同,但当被追问细节时,他表示不便公开谈论。
Wohl 先生表示,他没有接受过计算机科学或信息安全方面的正规教育或培训,他在这一领域的大部分知识都是自学得来的。
“我对技术的了解比任何人都多,”Wohl 吹嘘道,“我的背景一直都非常偏重技术,而且我一直深耕技术领域。大家都知道我是一个能够创造出令人惊叹的精妙功能的人,那些功能会让你看得头晕目眩。”
Wohl 表示,安全研究人员会“定期”向公司提供独特的漏洞发现,但在许多情况下,这些发现只是初步的,尚未完全成熟。
“假设有人在手机的媒体解码器中发现了一个缺陷,”Wohl 说,“很多时候,我们收到的是一个漏洞利用原语(exploit primitive),思路是有的,但[执行]还需要完善。你需要让该漏洞利用变得稳定且可靠,而这正是我们所做的。”
Wohl 声称 IRIS C2 大约有 40 名员工,但他表示出于行动安全考虑,任何人都不允许在 LinkedIn 上公开自己的任职情况。今年 5 月,IRIS C2 在 X 平台账号的运营者表示,他的女友完全不知道他靠什么谋生。但如果 IRIS C2 真有其他员工,他们可能同样对 Wohl 先生惯于凭空捏造的黑历史一无所知——甚至连他的真名都不知道。
2024 年 9 月,Politico 报道称,Burkman 和 Wohl 曾吹嘘有大公司购买了他们现已倒闭的公司 LobbyMatic 的服务,该公司声称利用人工智能来辅助政治游说活动。然而,Politico 发现这两人是使用化名在运营该公司:据报道,Wohl 使用了化名“Jay Klein”,而 Burkman 则使用了“Bill Sanders”这一称呼。Politico 报道称,LobbyMatic 的两名前员工在得知他们的真实身份后便辞职了,而其他员工则是在离职后才知晓真相。
需要完整排版与评论请前往来源站点阅读。