// 2 ZERO-DAY · 3 CVE · 4 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
IRIS C2, startup che acquista zero-day fino a 7 milioni di dollari, è gestita da Jacob Wohl e Jack Burkman, criminali condannati per frodi e disinformazione. Il caso

IRIS C2, startup con sede a McLean, Virginia, che offre fino a 7 milioni di dollari per vulnerabilità zero-day e exploit capabilities, è operata da Jacob Wohl e Jack Burkman. La coppia ha alle spalle condanne penali per telecommunications fraud, multe record da 5,1 milioni di dollari dell'FCC per campagne robocall, e una storia documentata di società false con pseudonimi. L'inchiesta di KrebsOnSecurity, pubblicata l'8 luglio 2026, svela come due operatori noti per disinformazione politica e frodi finanziarie stanno ricostruendo legittimità nel mercato offensive cybersecurity attraverso la segretezza strutturale del settore.

Il caso solleva interrogativi immediati sulla qualità della due diligence nel mercato zero-day governativo, dove la mancanza di trasparenza è norma operativa e l'uso di identità false pratica consolidata. La fonte non verifica contratti federali attivi né la reale capacità tecnica dell'azienda.

Punti chiave
  • IRIS C2 è registrata come Calvexa Group LLC a McLean, Virginia, con indirizzo collegato a Jack Burkman, 60 anni, e Jacob Wohl, 28 anni, come contatto operativo
  • Il sito irisc2[.]com offre payout da $10.000 a $7.000.000 per zero-day, exploit primitives, partial chains e full capabilities
  • Wohl e Burkman hanno patteggiato colpevolezza nel 2022 per telecommunications fraud in Ohio, pagato $1 milione di settlement civile a New York nel 2023, e subito una multa FCC record di $5,1 milioni per robocall elettorali
  • Wohl ha dichiarato di non avere formazione in computer science o information security, e che IRIS C2 conta circa 40 dipendenti impediti dal menzionare l'impiego su LinkedIn per operational security

La struttura societaria e l'offerta milionaria per exploit

IRIS C2 opera attraverso Calvexa Group LLC, entità registrata come federal contractor sulla piattaforma G2Exchange ma senza contratti governativi diretti attivi visibili. L'indirizzo di registrazione è occupato da Jack Burkman, fondatore della società di lobbying Burkman & Associates. Jacob Wohl, contatto operativo dell'azienda, ha riferito che Burkman non è coinvolto nelle operazioni quotidiane.

Il modello di business, come descritto dal sito e dalle dichiarazioni di Wohl, prevede l'acquisizione di vulnerabilità grezze da ricercatori junior con talento tecnico nonostante l'assenza di titoli accademici o esperienza industriale. Un post fissato sull'account X @C2IRIS afferma: "Our business model is this: Attract the very best vulnerability researchers and exploit developers in the world to join our company. This mostly revolves around junior engineers with raw talent/extremely high IQ. We don't care if they have a college degree/industry experience".

Wohl ha spiegato a KrebsOnSecurity il processo di rifinitura tecnica: "Let's say someone finds a flaw in a media decoder on a phone. A lot of times what we receive is an exploit primitive, where the idea is there but the [execution] needs work. You need that exploit to be stable and reliable, and that's what we do". La dichiarazione, tuttavia, non è verificabile indipendentemente: nessuna evidence tecnica di exploit stabili prodotti da IRIS C2 è pubblicamente disponibile.

Il curriculum criminale dei fondatori: frodi, robocall e false intelligence

Il background di Wohl e Burkman è documentato da sentenze penali, multe amministrative e reporting giornalistico incrociato. Nel 2017, la Arizona Corporation Commission ordinò a Wohl, allora 17 anni, la restituzione di $35.000 per securities fraud. Nel 2022, entrambi hanno patteggiato colpevolezza per telecommunications fraud a Cleveland, con 15 capi d'accusa per uno schema di robocall finalizzato alla suppression del voto nero a Detroit.

Nel 2023, una multa record di $5.100.000 dell'FCC per violazioni del TCPA ha sanzionato le campagne robocall elettorali. Nello stesso anno, un settlement civile di $1.000.000 a New York ha risarcito violazioni dei diritti civili. Wohl e Burkman hanno inoltre una storia consolidata di creazione di società false intelligence: la societä "Surefire Intelligence", fondata da Wohl, ha diffuso false accuse contro Robert Mueller, Pete Buttigieg, Elizabeth Warren e Kamala Harris.

Nel settembre 2024, Politico ha rivelato che la coppia operava LobbyMatic, piattaforma di lobbying basata su intelligenza artificiale, sotto gli pseudonimi "Jay Klein" (Wohl) e "Bill Sanders" (Burkman). Dipendenti hanno rassegnato dimissioni collettive dopo aver scoperto le identità reali. Il pattern di operazione con nomi falsi e società di facciata si ripete ora in IRIS C2.

"I do not have any formal education or training in computer science or information security, and that most of my knowledge on the matter is self-taught." — Jacob Wohl, intervista a KrebsOnSecurity, 2026

L'evoluzione da penetration testing a "phone-hacking governativo"

Wohl ha dichiarato che IRIS C2 è recentemente passata da penetration testing a "phone-hacking services to the government". La fonte non specifica quali agenzie governative sarebbero coinvolte né fornisce documentazione di contratti. Wohl ha rifiutato dettagli su presunti accordi federali durante l'intervista.

L'affermazione sull'evoluzione del business model introduce un'ulteriore area non verificata. Il passaggio dal penetration testing — attività legale e regolamentata — ai servizi di "phone-hacking" implica capacità di exploit mobile e potenziale uso law enforcement o intelligence. La fonte non documenta né l'esistenza di tali capacità tecniche né la loro effettiva vendita a entità governative.

Contemporaneamente, Wohl ha rilasciato dichiarazioni in tensione con l'assenza di formale competenza tecnica: "I know more about tech than anyone. My background has always been extremely technical, and I've always been deeply into tech. People know me as someone who is able to create spectacularly exquisite capabilities that would make your head spin". La fonte non verifica tali affermazioni.

Perché è importante

Il dossier non documenta misure correttive specifiche né azioni operative per interagire con IRIS C2. La fonte non specifica la natura dei dati esposti né fornisce indicazioni tecniche su exploit realmente in possesso della startup. L'unica verifica possibile riguarda i documenti pubblici: registri societari, sentenze penali, multe FCC, e il reporting di Politico su LobbyMatic.

Il caso IRIS C2 illustra un meccanismo sistemico piuttosto che un incidente isolato. Il mercato zero-day governativo opera naturalmente nella segretezza: le identità dei venditori, dei broker e spesso dei acquirenti sono protette. Questa opacità strutturale, combinata con payout milionari, crea condizioni in cui operatori con background criminale possono ricostruire legittimità senza scrutiny effettivo. La Calvexa Group LLC è registrata come federal contractor, ma la registrazione non implica verifica del background dei beneficial owner.

La fonte non verifica l'esistenza effettiva dei circa 40 dipendenti affermati da Wohl, né la loro consapevolezza del background criminale dei fondatori. L'impedito di menzionare l'impiego su LinkedIn, giustificato come operational security, rende impossibile qualsiasi verifica indipendente della reale entità organizzativa.

Non emergono sovrapposizioni infrastrutturali che colleghino IRIS C2 alle vulnerabilità NVD citate nel contesto del dossier (CVE-2025-53770, CVE-2026-3910, CVE-2026-45659) allo stato attuale. Tali CVE forniscono contesto tecnico sul tipo di vulnerabilità che interessa il mercato zero-day — RCE SharePoint, flaw Chrome V8 — ma nessun collegamento documentato all'attività di IRIS C2.

Domande frequenti

IRIS C2 ha effettivamente contratti governativi?

La fonte non lo verifica. Wohl afferma la transizione a "phone-hacking services to the government" ma rifiuta dettagli specifici. Calvexa Group LLC è registrata come federal contractor senza contratti diretti attivi visibili.

I dipendenti sono consapevoli del background criminale dei fondatori?

Il dossier non lo specifica. Wohl afferma che circa 40 dipendenti non possono menzionare l'impiego su LinkedIn per operational security; nessuna verifica indipendente della loro identità o consapevolezza è disponibile.

Wohl e Burkman sono attualmente detenuti o ricercati?

No. Le condanne riportate nel dossier si sono tradotte in probation, multe e settlement civili. Non risultano detenzioni attive né mandati di arresto pendenti.

Fonti

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. krebsonsecurity.com
  2. nvd.nist.gov