Peter Williams, ex director general de Trenchent, una división del contratista de defensa L3Harris que desarrolla herramientas de vigilancia y piratería para gobiernos occidentales, se declaró culpable la semana pasada de robar y vender algunas de esas herramientas a intermediarios rusos.
Los documentos judiciales presentados en el caso, los informes exclusivos de TechCrunch y las entrevistas con antiguos colegas de Williams explican cómo Williams pudo robar exploits sensibles y muy valiosos de Trentint.
Williams, un ciudadano australiano de 39 años conocido dentro de la empresa como «Doogie», admitió ante los fiscales que robó y vendió ocho hazañas, o «cero días». Un día cero es una falla de seguridad en el software de un fabricante desconocido que es muy valiosa para piratear un dispositivo específico. Williams dijo que algunos de estos exploits robados de su empresa Trenchint valen 35 millones de dólares, pero sólo recibió 1,3 millones de dólares en criptomonedas de corredores rusos. Williams vendió ocho exploits durante varios años, desde 2022 hasta julio de 2025.
Los documentos judiciales dicen que debido a su puesto y permanencia en Trenchint, Williams «mantuvo acceso de ‘superusuario'» a la red segura de «acceso interno controlado y autenticada por múltiples factores» de la compañía, donde las herramientas de piratería se almacenaban y a las que sólo accedían los empleados cuando «necesitaban saberlo».
Como «superusuario», Williams pudo ver toda la actividad, registros y datos relacionados con la red segura de Torrentint, incluidos los exploits, según documentos judiciales. El acceso de Williams a la red de la empresa le dio «acceso completo» a la información confidencial y los secretos comerciales de Trentint.
Para explotar este acceso generalizado, Williams utilizó un disco duro externo portátil para transportar el exploit desde redes seguras en las oficinas de Trentint en Sydney, Australia y Washington, DC, hasta sus dispositivos personales. En ese momento, Williams envió las herramientas robadas a través de canales cifrados a un corredor ruso, según documentos judiciales.
Un ex empleado de Trenchint familiarizado con los sistemas de TI internos de la empresa le dijo a TechCrunch que Williams tenía «un nivel muy alto de confianza» dentro de la empresa como miembro del equipo de liderazgo senior. Williams trabajó en la empresa durante años, incluso antes de que L3Harris adquiriera Azimuth y Linchpin Labs, dos nuevas empresas hermanas que se fusionaron con Trenchant.
«En mi opinión, se le consideraba una persona perfecta», afirmó un exempleado. La persona solicitó el anonimato porque no estaba autorizada a hablar de su trabajo en Trencinto.
«Nadie lo supervisaba en absoluto; se le permitía hacer las cosas como quisiera», dijeron.
consulta
¿Tienes más información sobre este incidente y la supuesta filtración de las herramientas de hacking de Trenchint? Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura desde un dispositivo que no sea del trabajo en Signal (+1 917 257 1382) o en Telegram, Keybase y Wire @lorenzofb, o por correo electrónico.
«La percepción general es que quien sea (el director general) tiene libre acceso a todo», dijo otro exempleado, que también pidió el anonimato.
Antes de la adquisición, Williams trabajó en Lynchpin Labs y antes en la Dirección de Señales de Australia, la agencia de inteligencia del país encargada de las escuchas digitales y electrónicas, según el podcast de ciberseguridad Risky Business.
La portavoz de L3Harris, Sarah Banda, no respondió a una solicitud de comentarios.
«Daños importantes»
En octubre de 2024, Torrentint fue «alertado» de que uno de sus productos había sido comprometido y estaba en posesión de un «corredor de software sin licencia», según documentos judiciales. Williams estuvo a cargo de investigar la violación, que negó haber pirateado la red de la compañía pero encontró que un ex empleado estaba «accediendo inadecuadamente a Internet desde un dispositivo con espacio de aire», según documentos judiciales.
Como informó anteriormente en exclusiva TechCrunch, Williams despidió a un desarrollador de Torrent en febrero de 2025 después de acusarlo de doble empleo. El empleado despedido se enteró más tarde por algunos antiguos colegas de que Williams lo había acusado de robar el día cero de Chrome, pero Williams no tenía acceso a él porque estaba trabajando en el desarrollo de exploits para iPhones y iPads. En marzo, Apple notificó a un ex empleado que su iPhone había sido objetivo de un «ataque de software espía mercenario».
En una entrevista con TechCrunch, el ex desarrollador de Trenchant dijo que cree que Williams lo incriminó para encubrir sus acciones. No está claro si el antiguo desarrollador es el mismo empleado mencionado en los documentos judiciales.
En julio, el FBI entrevistó a Williams y le dijo que la «forma más probable» de robar productos de una red segura sería que alguien con acceso a esa red descargara los productos en «un dispositivo con espacio de aire, como un teléfono celular o un disco externo». (Un dispositivo aislado es una computadora o servidor que no tiene acceso a Internet).
Resulta que eso es exactamente lo que Williams confesó al FBI en agosto después de ser confrontado con evidencia del crimen. Williams le dijo al FBI que después de vender su código a un corredor ruso, descubrió que estaba siendo utilizado por un corredor coreano. Sin embargo, no está claro cómo llegó el código Trenchint al corredor coreano en primer lugar.
Williams utilizó el alias «John Taylor», un proveedor de correo electrónico extranjero y una aplicación de cifrado no especificada cuando se comunicaba con un corredor ruso (posiblemente Operación Cero). El corredor, con sede en Rusia, ofrece hasta 20 millones de dólares en herramientas para piratear teléfonos Android y iPhone, y dice que vende a «entidades privadas y gubernamentales rusas únicamente».
Wired informó por primera vez que Williams probablemente vendió las herramientas robadas a Operation Zero. Los documentos judiciales describen una publicación en las redes sociales de septiembre de 2023 de un corredor anónimo que anuncia un aumento en el pago de la recompensa «de $200,000 a $20 millones», que coincide con las publicaciones de Operación Cero en X en ese momento.
Operation Zero no respondió a la solicitud de comentarios de TechCrunch.
Williams vendió el exploit inicial por 240.000 dólares y prometió pagos adicionales después de confirmar el rendimiento de la herramienta, así como soporte técnico posterior para mantener la herramienta actualizada. Después de esta venta inicial, Williams vendió siete hazañas más y acordó pagar un total de 4 millones de dólares, pero finalmente recibió sólo 1,3 millones de dólares, según documentos judiciales.
El caso de Williams ha sacudido a la comunidad ofensiva de ciberseguridad, donde los rumores de su arresto han sido la comidilla de la ciudad durante semanas, según personas que trabajan en la industria.
Algunos de estos expertos de la industria consideran que las acciones de Williams causan un daño significativo.
«Esto es una traición a las instituciones de seguridad nacional occidentales y una traición al peor tipo de actor de amenazas que tenemos hoy: Rusia», dijo a TechCrunch un ex empleado de Trenchint familiarizado con los sistemas de TI de la compañía.
«Porque estos secretos se transmiten a nuestros adversarios, que intentan socavar nuestras capacidades y que también pueden utilizarlas contra otros objetivos».
Source link
