O TechCrunch descobriu que uma campanha massiva de hackers visando usuários de iPhone na Ucrânia e na China usou ferramentas projetadas pelo empreiteiro militar dos EUA L3Harris. Projetada para espiões ocidentais, a ferramenta caiu nas mãos de vários grupos de hackers, incluindo espiões do governo russo e cibercriminosos chineses.
Na semana passada, o Google disse ter descoberto que um sofisticado kit de ferramentas para hackear iPhone foi usado em uma série de ataques globais ao longo de 2025. O kit de ferramentas, originalmente chamado de “Coruna” por seus desenvolvedores, foi criado a partir de 23 componentes diferentes que foram inicialmente usados para “operações altamente direcionadas” por um cliente governamental não identificado de um “fornecedor de vigilância” não especificado. Foi então utilizado por espiões do governo russo para atingir um número limitado de ucranianos e, finalmente, os cibercriminosos chineses lançaram uma campanha “generalizada” destinada a roubar dinheiro e criptomoedas.
Pesquisadores da empresa de segurança cibernética móvel iVerify Koruna analisada de forma independenteEles disseram acreditar que pode ter sido originalmente feito por uma empresa que o vendeu ao governo dos EUA.
Dois ex-funcionários da empresa governamental L3Harris disseram ao TechCrunch que o Coruna foi desenvolvido, pelo menos em parte, pela Trenchant, a divisão de tecnologia de hacking e vigilância da empresa. Ambos os ex-funcionários tinham conhecimento das ferramentas de hacking do iPhone da empresa. Ambos falaram sob condição de anonimato porque não estavam autorizados a falar sobre seu trabalho na empresa.
“Coruna era definitivamente o nome interno do componente”, disse um ex-funcionário da L3Harris que trabalhava na Trenchant e estava familiarizado com as ferramentas de hacking do iPhone.
“Se você olhar os detalhes técnicos, muitas pessoas estão familiarizadas com eles”, disse a pessoa, referindo-se a algumas das evidências divulgadas pelo Google.
Contate-nos
Você tem alguma informação adicional sobre o Coruna ou outras ferramentas governamentais de hacking e spyware? Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança via Signal em +1 917 257 1382 de um dispositivo que não seja de trabalho, ou via Telegram, Keybase e Wire @lorenzofb ou via e-mail.
O ex-funcionário disse que o kit de ferramentas abrangente do Trenchant inclui vários componentes, incluindo Coruna e explorações relacionadas. Outro ex-funcionário confirmou que alguns dos detalhes contidos no kit de ferramentas de hacking lançado vieram de Trenchant.
A L3Harris vende as ferramentas de hacking e vigilância do Trenchant apenas para o governo dos EUA e seus aliados na chamada aliança de inteligência Five Eyes, que inclui Austrália, Canadá, Nova Zelândia e Reino Unido. Dado o número limitado de clientes da Trenchant, é provável que a Coruna tenha sido originalmente adquirida e utilizada por uma das agências de inteligência destes governos antes de cair em mãos indesejadas. No entanto, não está claro quanto do kit de ferramentas de hacking Coruna publicado foi desenvolvido por L3Harris Trenchant.
Um porta-voz da L3Harris não respondeu a um pedido de comentário.
Não está claro como a Coruna passou das mãos de empreiteiros do governo Five Eyes para um grupo de hackers do governo russo e depois para uma organização chinesa de crimes cibernéticos.
Porém, algumas situações parecem semelhantes ao caso de Peter Williams, ex-gerente geral da Trenchant. Williams vendeu oito ferramentas de hacking da empresa para a Operação Zero de 2022 até sua renúncia em meados de 2025. A Operation Zero é uma empresa russa que oferece milhões de dólares em troca de explorações de dia zero. Isso significa que a vulnerabilidade é desconhecida do fornecedor afetado.
Williams, um cidadão australiano de 39 anos, foi condenado a sete anos de prisão no mês passado por roubar oito ferramentas de hacking Trenchant e vendê-las à Operação Zero por US$ 1,3 milhão.
O governo dos EUA disse que Williams “traiu” os Estados Unidos e seus aliados ao usar seu “acesso total” à rede Trenchant. Os promotores o acusaram de vazar uma ferramenta que poderia “potencialmente acessar milhões de computadores e dispositivos em todo o mundo” para qualquer pessoa que a usasse, sugerindo que ela se baseava em vulnerabilidades que afetavam softwares amplamente utilizados, como o iOS.
A Operação Zero, que foi sancionada pelo governo dos EUA no mês passado, afirma trabalhar exclusivamente com o governo russo e empresas locais. O Tesouro dos EUA alegou que corretores russos venderam as “ferramentas roubadas” de Williams a pelo menos um usuário não autorizado.
Ele descreve como um grupo de espionagem russo, identificado pelo Google apenas como UNC6353, adquiriu o Coruna e o distribuiu para sites ucranianos comprometidos para hackear usuários específicos do iPhone em localizações geográficas específicas que haviam visitado o site malicioso sem saber.
Depois que a Operação Zero adquirir a Coruna e potencialmente vendê-la ao governo russo, é possível que o corretor revenda o kit de ferramentas para outras pessoas, outros corretores, outros países ou diretamente para cibercriminosos. O Tesouro alegou que membros da gangue de ransomware Trickbot trabalharam com a Operação Zero para conectar corretores a hackers com motivação financeira.
Nesse ponto, a Coruna pode ter passado para mãos diferentes até chegar aos hackers chineses. De acordo com os promotores dos EUA, Williams confirmou que o código que ele escreveu e vendeu para a Operação Zero foi posteriormente usado por um corretor coreano.
trabalho de triangulação
Pesquisadores do Google escreveram na terça-feira que duas explorações específicas do Coruna e vulnerabilidades subjacentes, chamadas Photon e Gallium por seus desenvolvedores originais, foram usadas como dia zero na Operação Triangulação, uma sofisticada campanha de hackers supostamente usada para atingir usuários russos do iPhone. A Operação Triangulação foi lançada pela primeira vez pela Kaspersky em 2023.
Rocky Cole, cofundador da iVerify, disse ao TechCrunch que “a melhor explicação com base no que sabemos atualmente” é que Trenchant e o governo dos EUA foram os desenvolvedores e clientes originais da Coruna. Mas Cole acrescentou que não afirma que isso seja “definitivo”.
Ele disse que esta avaliação é baseada em três fatores. A linha do tempo de uso do Coruna é consistente com os vazamentos de Williams, e as estruturas dos três módulos descobertos no Coruna (plasma, fóton e gálio) são muito semelhantes à triangulação, e o Coruna reutilizou algumas das mesmas explorações usadas nesse trabalho, disse ele.
Segundo Cole, “pessoas próximas da comunidade de defesa” afirmam que plasma foi usado na operação de triangulação, “embora não haja provas públicas em contrário”. (Cole trabalhou anteriormente para a Agência de Segurança Nacional dos EUA.)
De acordo com o Google e o iVerify, o Coruna foi projetado para hackear modelos de iPhone rodando iOS 13 a 17.2.1 lançados entre setembro de 2019 e dezembro de 2023. Essa data é consistente com o cronograma de alguns vazamentos de Williams e as descobertas da Operação Triangulação.
Um ex-funcionário da Trenchant disse ao TechCrunch que quando a Triangulação foi lançada pela primeira vez em 2023, outros funcionários da empresa acreditavam que pelo menos um dos dias zero capturados pelo Kaspersky “veio de nós e foi potencialmente ‘roubado’ de projetos importantes, incluindo Coruna”.
Outra rota apontando para Trenchant — Como observou o pesquisador de segurança Costin Raiu: — Novos nomes para algumas das 23 ferramentas: Cassowary, Terrorbird, Bluebird, Jacurutu e Sparrow. Em 2021 O Washington Post revelou O azimute, Uma das duas startups Posteriormente, foi adquirido pela L3Harris. Incorporado na trancheVendeu uma ferramenta de hacking chamada Condor ao FBI. O infame incidente de quebra do iPhone em San Bernardino.
Depois que a Kaspersky publicou suas descobertas sobre a operação de triangulação, o Serviço Federal de Segurança da Rússia (FSB) acusou a NSA de hackear “milhares” de iPhones na Rússia, visando especificamente diplomatas. Na época, uma porta-voz da Kaspersky disse que a empresa não tinha informações sobre as alegações do FSB. O porta-voz observou que os “indicadores de comprometimento”, ou seja, evidências de hacking, identificados pelo Centro Nacional de Coordenação de Incidentes Informáticos (NCCCI) da Rússia eram os mesmos identificados pela Kaspersky.
“Apesar de nossa extensa investigação, não podemos concluir que a Operação Triangulação seja o trabalho de um grupo conhecido (Ameaça Persistente Avançada) ou empresa de desenvolvimento de exploits”, disse Boris Larin, pesquisador de segurança da Kaspersky, ao TechCrunch por e-mail.
Larin explicou que o Google vinculou Coruna à Operação Triangulação. Isso ocorre porque ambos exploram as mesmas duas vulnerabilidades: Photon e Gallium.
“A atribuição não pode ser baseada apenas no facto de estas vulnerabilidades terem sido exploradas. Todos os detalhes sobre ambas as vulnerabilidades são públicos há muito tempo, pelo que qualquer pessoa poderia ter tirado partido delas. As duas vulnerabilidades partilhadas “são apenas a ponta do iceberg”, acrescentou.
A Kaspersky nunca acusou publicamente o governo dos EUA de estar por trás da operação de triangulação. Curiosamente, o logotipo que a empresa criou para a campanha é o logotipo da Apple. Composto por vários triângulos – Uma reminiscência de ~ L3Harris Logo. Pode não ser uma coincidência. A Kaspersky disse anteriormente que não revelaria publicamente a causa da campanha de hackers e manteve silêncio sobre quem realmente estava por trás dela ou quem forneceu as ferramentas.
Kaspersky em 2014 apresentação Eles dizem que capturaram um sofisticado e esquivo grupo de hackers do governo conhecido como “Careto” (“A Máscara” em espanhol). A empresa disse que os hackers falavam apenas espanhol. Mas a ilustração da máscara que a empresa utilizou no seu relatório incluía as cores vermelha e amarela da bandeira espanhola, chifres de touro, argolas para o nariz e castanholas.
Tal como o TechCrunch revelou no ano passado, os investigadores da Kaspersky concluíram, em privado, que “não havia dúvida” de que o Careto era gerido pelo governo espanhol, como disse um deles.
Na quarta-feira, o jornalista de segurança cibernética Patrick Gray disse: Ele disse isso em um episódio de seu podcast Risky Business: Com base em “pequenos detalhes”, ele tinha certeza de que Williams havia vazado para a Operação Zero, ele acreditava que era um kit de hacking usado em uma campanha de triangulação.
Apple, Google, Kaspersky e Operation Zero não responderam aos pedidos de comentários.
