700万美元买零日漏洞,这家”网络安全公司”的老板是惯犯

导语:有人公开开价700万美元,收購流行软件里的零日漏洞,号称要卖给政府——听起来像正经的网络军火生意,对吧?但 Krebs on Security 深挖一层发现,这家名叫 IRIS C2 的公司,背后站着的是两个美国网络上人人喊打的惯犯:Jack Burkman 和 Jacob Wohl。这俩人的成名史,就是一部造谣简史——伪造 FBI 局长性侵案、编造政客婚外情、搞选民压制电话……如今换了套皮,又在政府网络军火圈子里到处贴了。


IRIS C2 官网价目表,从1万美元到700万美元不等

这俩人是谁?

Jack Burkman,60岁,职业游说人;Jacob Wohl,28岁,江湖人称”华尔街神童”——2015年上了福克斯新闻聊他的对冲基金,那年他才17岁。

但这俩人的正经生意经,是造假

2018年到2020年之间,Burkman 和 Wohl 联手开了好几家皮包情报公司,专门干一件事:对着美国政要用编造的故事泼脏水。

最离谱的两次:

  • 伪造 FBI 局长性侵案:两人召开新闻发布会,煞有介事地声称时任 FBI 局长罗伯特·穆勒(Robert Mueller)性侵了多人。穆勒当时正主持”通俄门”调查。
  • 伪造南本德市长性侵案:编造针对时任印第安纳州南本德市市长、2020年民主党总统候选人皮特·布蒂吉格(Pete Buttigieg)的性侵指控。
  • 编造参议员婚外情:2019年,两人又召开发布会,声称马萨诸塞州民主党参议员伊丽莎白·沃伦和时任副总统候选人卡玛拉·哈里斯有婚外情。

这还没完。2020年美国总统大选后,两人向多个摇摆州的居民大规模发送自动语音电话(robocall),散布关于邮寄选票的虚假信息,试图压制底特律黑人选民投票。克利夫兰检方起诉了两人,列出15项重罪。

Jack Burkman 和 Jacob Wohl,摄于2020年8月某次新闻发布会

后来两人上诉失败,2025年底被判缓刑。2022年,他们在俄亥俄州又承认了一项电信欺诈重罪,被罚款加缓刑。2023年,纽约一起民事案判决两人违反联邦和州民权法,和解金100万美元。同年,美国联邦通信委员会(FCC)对他们开出了510万美元的罚单——也是FCC根据《电话消费者保护法》当时能开出的最大罚单。

Wohl 未成年时就到处卖未注册证券,亚利桑那州证交会告了他14项证券欺诈,加州又给他追加了4项销售未注册证券重罪,判了两年缓刑。

就是这样两个人,现在正试图做政府网络军火的生意。

IRIS C2 是什么?

IRIS C2 号称自己是一家位于弗吉尼亚州麦克莱恩的网络安全公司,主营”进攻性安全产品”——也就是收购漏洞然后卖给政府的那种生意。

公司的招聘文案毫不遮掩,在 X(Twitter)上写的是:

“我们的商业模式,就是吸引全球最顶尖的漏洞研究人员和漏洞利用开发人员加入我们。这主要针对那些天赋异禀、智商极高的年轻工程师——有没有大学学历、行业经验,我们一律不在乎。”

irisc2[.]com 网站上的价目表:

类型价格范围
各类漏洞原语1万 ~ 数十万美元
部分利用链数十万 ~ 数百万美元
完整攻击能力(跨平台)最高700万美元

政府合同门户 g2exchange.com 显示,irisc2[.]com 的运营实体是一家名叫 Calvexa Group LLC 的弗吉尼亚州注册企业。而 Calvexa Group LLC 的注册地址,在阿灵顿县——住户正是 Jack Burkman 本人。

当 Krebs on Security 联系 Burkman 询问 IRIS C2 的事,他把问题转手给了自己的”老搭档” Jacob Wohl。

Wohl 怎么说?

Wohl 在接受 Krebs 采访时确认 Burkman 不参与 IRIS C2 的日常运营,并声称公司原本做渗透测试,最近才转向政府电话窃听服务。他多次提到公司在参与联邦政府合同,但追问具体细节时三缄其口。

Wohl 吹牛说:

“我在技术方面比任何人都懂。我的背景一直是极度技术化的,大家都知道我能创造出令人头晕目眩的卓越能力。”

他还透露,IRIS C2 目前有约40名员工——但出于”行动安全”,这些人在 LinkedIn 上都不公开自己的职位。今年5月,公司 X 账号的运营者曾说,他的女朋友完全不知道他是干什么的。

图片[3]-700万美元买零日漏洞,IRIS C2 老板是造假惯犯

LobbyMatic 的旧戏码

Burkman 和 Wohl 之前还运营过一家名叫 LobbyMatic 的公司,声称用 AI 辅助政治游说。Politico 2024年9月报道过,这两人在 LobbyMatic 里用的是化名——Wohl 自称”Jay Klein”,Burkman 则叫”Bill Sanders”。公司两名员工在得知老板真实身份后立刻辞职,另一些人则是离职后才发现自己被耍了。

据 Politico 报道,有大型公司真的从 LobbyMatic 购买了服务。

上个月的新消息

就在 Krebs on Security 刊发调查后,多位读者提供了新线索:今年3月,记者 Molly White 在 citationneeded.news 爆料,Burkman 和 Wohl 曾收了一名加拿大加密货币诈骗犯30万美元定金。这名诈骗犯涉嫌从加密货币平台 KyberSwap 和 Indexed Finance 窃取6500万美元,正被多国通缉。两人接的单子是:帮这个黑客寻求”总统特赦以避免司法不公”——讽刺的是,这名黑客当时甚至还没被定罪。


漏洞交易市场从来不缺形形色色的人——有潜心研究的学者,有混水摸鱼的骗子,也有真正在背后操纵信息的惯犯。 但像 Burkman 和 Wohl 这样,造假记录厚厚一叠,如今居然站到了政府网络军火生意的门槛上,这事儿怎么看都不对劲。

建议相关从业者:看到这俩名字的项目,绕道走。


原文出处:Krebs on Security 原文链接:https://krebsonsecurity.com/2026/07/felons-fraudsters-flog-offensive-cybersecurity-startup/ 图片来源:除特殊注明外,均来自 Krebs on Security,原文地址见上述链接

版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。

© 版权声明
THE END
喜欢就支持一下吧
点赞13 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容