【震惊】苹果&特斯拉泄漏事件分析(附下载)
为了节省时间,公众号发送0612获得下载地址。
即使有链接,大部分人还是不会下载的,再次感慨下”九个困难的存在“。
以前人们一听到有数据,就伸手要链接;一听到要付费,又把手伸回去了。
可是这次泄露的是高贵的印度Tata Electronics –苹果公司最大的供应商,文件都是直接dump的,由著名组织WorldLeaks发布。
可以看到文件更新时间是6月12号,目前的Views 13215。
还是上了新闻之后访问才增多了,平时的浏览量不到1000。
这年头免费的数据都没人要了吗,而且技术细节也没人分享,这才是最令人难过的。
先来看数据分布
文件一共204341个,合计630.4 GB,观察到已经有专业人士在进行分析了,很快可以造出开源版“iPhone 18 Pro”
泄露文件清单:
– iPhone 18 Pro (V63/V64): 主板设计图、跌落测试图(2026 年初塔塔工厂实拍)、内部代号水印
– A20 Pro 芯片手册: 台积电 2nm 工艺 + WMCM 晶圆级多芯片模块封装(内存侧置)、NPU 物理面积增大
– C2 基带芯片文档: 苹果自研基带(弱信号优化 + 5G 卫星通信)
– iPhone Fold (V68): 折叠屏内部代号首次曝光
– 供应商-零件对应清单: 数百个零部件-供应商精确映射(首次泄露苹果完整供应链结构)
– 测试数据: 跌落/防水/AI 测试报告;中/美不同容量电池测试日志
– 运营数据: 员工护照扫描件、工作邮件与事件日志
根据文件类型统计

根据业务类型统计

看文件内容就预感到,这起事件本质上不是一次普通勒索软件事件,而是典型的制造供应链的情报级数据窃取事件,全球厂商都会遭到同类型攻击。
再来看时间线
|
时间 |
事件 |
|
2026年5月 |
获得内部访问权限 |
|
2026-06-10 |
World Leaks在暗网发帖 |
|
2026-06-12 |
World Leaks挂牌出售数据 |
|
2026-06-22 |
Reuters曝光事件 , Tata表示“生产系统未受影响” |
|
2026-06-26 |
Tata启动取证调查, Apple安全团队介入 |
|
2026-06-29 |
Reuters进一步验证文件真实性 |
|
2026-07-01 |
各路人士分析泄露文件 |
这果然是印度公司风格,“所有文件泄露”等于“生产系统未受影响”。
World Leaks手法分析
翻遍了各个产品,都没找到什么有价值的信息,AI编写的又太假,与实战不符合。

只有一家把漏洞关联到CVE-2026-8932 (别用AI编故事了)
还好有 Darktrace ,提供了专业的入侵分析,披露了一次2025年10月实战的完整攻击链
让我们回到案发现场:
第一阶段:初始访问
暴露面是一台FortiGate设备(你看买的设备是不是引入了新的安全风险)
利用被盗用的 administrator 账号进行暴力尝试(Brute Force),随后潜伏在内网。
第二阶段:横向移动
获得权限后,攻击者没有立即操作,而且使用 系统原生工具(Living off the Land)- PsExec、 WinRM 、 RDP、 SMB、 SSH,逐步获得域控权限。
第三阶段:内网侦察
随后就是寻找有价值的文件,使用TCP扫描、UDP扫描、网络枚举、SMB共享发现、域环境发现
第四阶段:建立隐蔽控制通道
黑客都在使用Cloudflare Tunnel,利用CLoudflare建立C2通道,安全又可靠
region1.v2.argotunnel.com
region2.v2.argotunnel.com
h2.cftunnel.com
第五阶段:部署远程控制工具
通过 SMB 推送
chromeremotedesktophost.msi
随后使用Chrome Remote Desktop
又是经典的知名合法软件,当着面远程都不会引起别人怀疑。
第六阶段:OpenSSH工具投放
域控推送
OpenSSHUtils.psm1
ssh-sk-helper.exe
建立备用的ssh后门
第七阶段:数据窃取
使用rclone/v1.69.0 上传数据至 MEGA/Backblaze
MEGA也是大品牌,速度快+安全性高,实在是居家旅行,窃取数据,必备神器。
第八阶段:加密
World Leaks的口号是 “不加密,只窃取数据”,实际上还是把文件加密了….这年头不加密估计没人肯付钱。
最后对比下,两者都是 制造业目标+长期潜伏 +横向移动+共享盘枚举,剩下的详情等披露再看咯。
|
特征 |
Darktrace案例 |
Tata事件 |
|
制造业目标 |
是 |
是 |
|
长时间潜伏 |
3个月 |
1个月? |
|
大规模文件收集 |
是 |
是 |
|
云端外传 |
MEGA |
?? |
|
使用合法工具 |
PsExec/RDP/SSH |
?? |
|
数据勒索 |
是 |
是 |
World Leaks风格分析
World Leaks的官网风格很侘寂 ,让我对他们产生了兴趣。
如果TeamPCP是一群疯魔的小朋友,那World Leaks就是典型的西装暴徒,可能带着眼镜,还会对你微笑。
这种温柔的外表下隐藏着一颗不安分的心,女生可不能被骗了🙂
让我们来看看里面的细节吧
1、整体布局清晰
左边有不同时区和页面统计,仿佛回到了古老的论坛时代;
右边是核心数据展示,包含了公开状态、公司信息和时间描述,表达简洁又清晰,还能看到这些公司市值,是多么的有钱!
右下角提供了分享按钮,方便大家一键分享到社交平台,和好友共享快乐。
2、文件浏览
贴心得把文件做成了网页盘符,方便大家寻找文件,并且提供了文件清单,有对应的路径和文件名。

3、高亮内容
为了防止大家看不过来,特意把个人信息相关的放到高亮内容中,一键就能获得敏感数据。

4、记者特权
如果你是记者,就能到注册账号,提前获得数据;这样报社就能获得新闻首发,领先全世界。


5、安全提示
还有专门的网站介绍,防止你在暗网被骗!一定要认准官网地址哦,没有任何其他合作伙伴!

6、断点续传
这个功能让我感动,下载大文件再也不怕中断啦

7、支付便捷
付款过的朋友表示真的很方便,点击付款选项后,根据生成的钱包地址,付款后记录就被清理了,真的就像没有泄露过一样哦。
有IOC才显得专业
193.161.193.99
51.15.109.222
45.227.253.139
45.227.254.128
195.66.213.218
region1.v2.argotunnel.com
region2.v2.argotunnel.com
backblazeb2.com
h2.cftunnel.com
gfs302n520.userstorage.mega.co.nz
193.161.193.99
51.15.109.222
45.227.253.139
45.227.254.128
195.66.213.218
region1.v2.argotunnel.com
region2.v2.argotunnel.com
backblazeb2.com
h2.cftunnel.com
gfs302n520.userstorage.mega.co.nz
一些猜想
希望有人能去知乎回答一下问题,别总是把幻想当成现实,现实又当成故事了。
根据年度统计数据,勒索事件也在进化中:
- 2025年攻击事件同比上涨 50%;
- 支付意愿从2024年的62.8%降低到28.8% (不付钱数据就公开了)
- 支付的赎金中位数增长了367%
随着AI技术的发展,基础问题反而会越来越严重,投毒勒索成为家常便饭,该如何应对这个挑战呢。
参考链接:
苹果供应链的“印度堡垒”为何一触即溃
https://www.huxiu.com/article/4872247.html
World Leaks技术分析
https://www.darktrace.com/blog/when-reality-diverges-from-the-playbook-darktrace-identifies-encryption-in-a-world-leaks-ransomware-attack
夜雨聆风