Como um ex-chefe da L3 Harris Trenchant roubou e vendeu explorações cibernéticas para a Rússia

Peter Williams, ex-gerente geral da Trenchant, uma divisão da empresa de defesa L3Harris que desenvolve ferramentas de vigilância e hackers para governos ocidentais, se declarou culpado na semana passada por roubar algumas dessas ferramentas e vendê-las a um corretor russo.

Um documento judicial apresentado no caso, bem como reportagens exclusivas do TechCrunch e entrevistas com ex-colegas de Williams, explicaram como Williams conseguiu roubar explorações altamente valiosas e confidenciais de Trenchant.

Williams, um cidadão australiano de 39 anos conhecido dentro da empresa como “Doogie”, admitiu aos promotores que roubou e vendeu oito explorações, ou “dias zero”, que são falhas de segurança em software desconhecidas de seu fabricante e são extremamente valiosas para invadir os dispositivos de um alvo. Williams disse que algumas dessas explorações, que ele roubou de sua própria empresa Trenchant, valiam US$ 35 milhões, mas ele recebeu apenas US$ 1,3 milhão em criptomoedas da corretora russa. Williams vendeu as oito explorações ao longo de vários anos, entre 2022 e julho de 2025.

Graças à sua posição e mandato na Trenchant, de acordo com o documento judicial, Williams “manteve o acesso de ‘superusuário’” à rede segura “interna, com acesso controlado e autenticação multifatorial” da empresa, onde suas ferramentas de hacking estavam armazenadas, e à qual apenas funcionários com “necessidade de saber” tinham acesso.

Como “superusuário”, Williams poderia visualizar todas as atividades, registros e dados associados à rede segura de Trenchant, incluindo suas explorações, observa o documento do tribunal. O acesso à rede da empresa de Williams deu-lhe “acesso total” às informações proprietárias e aos segredos comerciais de Trenchant.

Abusando deste amplo acesso, Williams usou um disco rígido externo portátil para transferir as explorações das redes seguras nos escritórios de Trenchant em Sydney, Austrália e Washington DC, e depois para um dispositivo pessoal. Nesse ponto, Williams enviou as ferramentas roubadas por meio de canais criptografados ao corretor russo, de acordo com o documento judicial.

Um ex-funcionário da Trenchant com conhecimento dos sistemas internos de TI da empresa disse ao TechCrunch que Williams “estava no mais alto escalão de confiança” dentro da empresa como parte da equipe de liderança sênior. Williams trabalhou na empresa durante anos, inclusive antes da aquisição da L3Harris Laboratórios Azimuth e Linchpinduas startups irmãs que fundido em Trenchant.

“Ele foi, na minha opinião, considerado irrepreensível”, disse o ex-funcionário, que pediu para permanecer anônimo por não estar autorizado a falar sobre seu trabalho na Trenchant.

“Ninguém tinha qualquer supervisão sobre ele. Ele tinha permissão para fazer as coisas do jeito que queria”, disseram.

Outro ex-funcionário, que também pediu para não ser identificado, disse que “a consciência geral é que quem for o (gerente geral) teria acesso irrestrito a tudo”.

Antes da aquisição, Williams trabalhou na Linchpin Labs e, antes disso, na Diretoria Australiana de Sinaisa agência de inteligência do país encarregada da escuta digital e eletrônica, de acordo com o podcast de segurança cibernética Negócio arriscado.

Sara Banda, porta-voz da L3Harris, não respondeu a um pedido de comentário.

‘Danos graves’

Em outubro de 2024, Trenchant “foi alertado” de que um de seus produtos havia vazado e estava na posse de “um corretor de software não autorizado”, de acordo com o documento judicial. Williams foi encarregado da investigação do vazamento, que descartou um hack na rede da empresa, mas descobriu que um ex-funcionário “tinha acessado indevidamente a Internet a partir de um dispositivo isolado”, de acordo com o documento judicial.

Como o TechCrunch relatou anteriormente e com exclusividade, Williams demitiu um desenvolvedor do Trenchant em fevereiro de 2025 após acusá-lo de ter um duplo emprego. O funcionário demitido soube mais tarde por alguns de seus ex-colegas que Williams o acusou de roubar o Chrome zero-days, ao qual ele não tinha acesso porque trabalhava no desenvolvimento de exploits para iPhones e iPads. Em março, a Apple notificou o ex-funcionário de que seu iPhone havia sido alvo de “ataque de spyware mercenário”.

Em uma entrevista ao TechCrunch, o ex-desenvolvedor do Trenchant disse acreditar que Williams o incriminou para encobrir suas próprias ações. Não está claro se o ex-desenvolvedor é o mesmo funcionário mencionado no documento judicial.

Em Julho, o FBI entrevistou Williams, que disse aos agentes que “a forma mais provável” de roubar produtos da rede segura seria alguém com acesso a essa rede descarregar os produtos para um “dispositivo isolado (…) como um telemóvel ou uma unidade externa”. (Um dispositivo isolado é um computador ou servidor que não tem acesso à Internet.)

No final das contas, foi exatamente isso que Williams confessou ao FBI em agosto, após ser confrontado com evidências de seus crimes. Williams disse ao FBI que reconheceu seu código sendo usado por um corretor sul-coreano depois de vendê-lo ao corretor russo; no entanto, ainda não está claro como o código de Trenchant acabou com o corretor sul-coreano.

Williams usou o pseudônimo “John Taylor”, um provedor de e-mail estrangeiro, e aplicativos criptografados não especificados ao interagir com o corretor russo, provavelmente a Operação Zero. Esta é uma corretora com sede na Rússia que oferece até US$ 20 milhões em ferramentas para hackear telefones Android e iPhones, que afirma vender “apenas para organizações privadas e governamentais russas”.

Wired foi o primeiro a relatar que Williams provavelmente vendeu as ferramentas roubadas para a Operação Zero, visto que o documento do tribunal menciona uma postagem de setembro de 2023 nas redes sociais anunciando um aumento nos “pagamentos de recompensas de US$ 200.000 para US$ 20.000.000” do corretor não identificado, o que corresponde uma postagem da Operação Zero em X no momento.

A Operação Zero não respondeu ao pedido de comentários do TechCrunch.

Williams vendeu o primeiro exploit por US$ 240.000, com a promessa de pagamentos adicionais após a confirmação do desempenho da ferramenta e para suporte técnico subsequente para manter a ferramenta atualizada. Após esta venda inicial, Williams vendeu outras sete façanhas, concordando com um pagamento total de US$ 4 milhões, embora tenha acabado recebendo apenas US$ 1,3 milhão, de acordo com o documento judicial.

O caso de Williams abalou a comunidade ofensiva de segurança cibernética, onde rumores de sua prisão foram tema de conversa por semanas, de acordo com várias pessoas que trabalham no setor.

Alguns desses membros da indústria consideram que as ações de Williams causaram graves danos.

“É uma traição ao aparato de segurança nacional ocidental e é uma traição ao pior tipo de ator de ameaça que temos no momento, que é a Rússia”, disse ao TechCrunch o ex-funcionário da Trenchant com conhecimento dos sistemas de TI da empresa.

“Porque esses segredos foram dados a um adversário que com certeza irá minar nossas capacidades e potencialmente até usá-los contra outros alvos.”