A Kaspersky revelou detalhes sobre uma campanha de espionagem avançada, apelidada de “Operação Triangulação”, que visa dispositivos Apple iOS.

O ataque utiliza um implante chamado TriangleDB com múltiplos módulos para coletar informações sensíveis. O ataque foi inicialmente descoberto em junho de 2023 e explora vulnerabilidades de dia zero (CVE-2023-32434 e CVE-2023-32435) na plataforma iMessage para obter controle total sobre o dispositivo e os dados do usuário.

A identidade e a escala do ator de ameaça ainda são desconhecidas. A própria Kaspersky foi um dos alvos no início do ano, o que levou à investigação. O núcleo do ataque é um backdoor chamado TriangleDB, que é implantado após os atacantes obterem privilégios de root no dispositivo iOS alvo.

Antes da implantação do implante, são executadas duas etapas de validação, JavaScript Validator e Binary Validator, para determinar se o dispositivo alvo não está associado a um ambiente de pesquisa. O ataque começa com um anexo iMessage invisível que desencadeia uma cadeia de exploração de zero clique, projetada para abrir uma URL única contendo JavaScript ofuscado e uma carga útil criptografada.

O implante TriangleDB estabelece comunicação com o servidor de comando e controle (C2) e recebe instruções para exfiltrar arquivos e apagar rastros forenses. Os pesquisadores da Kaspersky observaram que os atacantes mostraram um grande entendimento dos mecanismos internos do iOS, usando APIs privadas e não documentadas durante o ataque.