Um kit de ferramentas para hackear iPhone usado por espiões russos provavelmente veio de um empreiteiro militar dos EUA

Uma campanha de hackers em massa visando usuários de iPhone na Ucrânia e na China usou ferramentas que provavelmente foram projetadas pelo empreiteiro militar dos EUA L3Harris, descobriu o TechCrunch. As ferramentas, destinadas a espiões ocidentais, acabaram nas mãos de vários grupos de hackers, incluindo agentes do governo russo e cibercriminosos chineses.

Na semana passada, o Google revelou que ao longo de 2025 descobriu que um sofisticado kit de ferramentas para hackear iPhone foi usado em uma série de ataques globais. O kit de ferramentas, apelidado de “Coruna” pelo seu desenvolvedor original, era composto por 23 componentes diferentes, usados ​​pela primeira vez “em operações altamente direcionadas” por um cliente governamental não identificado de um “fornecedor de vigilância” não especificado. Foi então utilizado por espiões do governo russo contra um número limitado de ucranianos e, finalmente, por cibercriminosos chineses “em campanhas de larga escala” com o objetivo de roubar dinheiro e criptomoedas.

Pesquisadores da empresa de segurança cibernética móvel iVerify, que Corunha analisada de forma independentedisseram acreditar que pode ter sido originalmente construído por uma empresa que o vendeu ao governo dos EUA.

Dois ex-funcionários da empresa contratada pelo governo L3Harris disseram ao TechCrunch que o Coruna foi, pelo menos em parte, desenvolvido pela divisão de tecnologia de hacking e vigilância da empresa, Trenchant. Os dois ex-funcionários tinham conhecimento das ferramentas de hacking do iPhone da empresa. Ambos falaram sob condição de anonimato porque não estavam autorizados a falar sobre seu trabalho na empresa.

“Coruna era definitivamente o nome interno de um componente”, disse um ex-funcionário da L3Harris, que estava familiarizado com as ferramentas de hacking do iPhone como parte de seu trabalho na Trenchant.

“Olhando para os detalhes técnicos”, disse essa pessoa, referindo-se a algumas das evidências publicadas pelo Google, “muitos são familiares”.

O ex-funcionário disse que o kit de ferramentas abrangente do Trenchant abrigava vários componentes diferentes, incluindo Coruna e explorações relacionadas. Outro ex-funcionário confirmou que alguns dos detalhes incluídos no kit de ferramentas de hacking publicado vieram de Trenchant.

A L3Harris vende as ferramentas de hacking e vigilância da Trenchant exclusivamente ao governo dos EUA e seus aliados na chamada aliança de inteligência Five Eyes, que inclui Austrália, Canadá, Nova Zelândia e Reino Unido. Dado o número limitado de clientes de Trenchant, é possível que Coruna tenha sido originalmente adquirido e usado por uma das agências de inteligência desses governos antes de cair em mãos indesejadas, embora não esteja claro quanto do kit de ferramentas de hacking Coruna publicado foi desenvolvido por L3Harris Trenchant.

Um porta-voz da L3Harris não respondeu a um pedido de comentário.

Não está claro como a Coruna passou das mãos de um empreiteiro do governo Five Eyes para um grupo de hackers do governo russo e depois para uma gangue chinesa de crimes cibernéticos.

Mas algumas das circunstâncias parecem semelhantes ao caso de Pedro Williamsex-gerente geral da Trenchant. De 2022 até sua renúncia em meados de 2025, Williams vendeu oito ferramentas de hacking para empresas para Operação Zerouma empresa russa que oferece milhões de dólares em troca de dia zero exploits, ou seja, vulnerabilidades desconhecidas do fornecedor afetado.

Williams, um cidadão australiano de 39 anos, foi condenado a sete anos de prisão no mês passado, depois que ele admitiu ter roubado e vendido as oito ferramentas de hacking Trenchant para a Operação Zero por US$ 1,3 milhão.

O governo dos EUA disse Williams, que aproveitou para ter “acesso total” às redes de Trenchant, “traiu” os Estados Unidos e seus aliados. Promotores acusou-o de vazar ferramentas isso poderia ter permitido que quem as usasse “potencialmente acessasse milhões de computadores e dispositivos em todo o mundo”, sugerindo que as ferramentas dependiam de vulnerabilidades que afetavam softwares amplamente utilizados como o iOS.

Operação Zero, que foi sancionado pelo governo dos EUA no mês passado, afirmou trabalhar exclusivamente com o governo russo e empresas locais. O Tesouro dos EUA alegou que o corretor russo vendeu “ferramentas roubadas de Williams a pelo menos um usuário não autorizado”.

Isso explicaria como o grupo de espionagem russo, que o Google identificou apenas como UNC6353, adquiriu o Coruna e o implantou em sites ucranianos comprometidos para hackear certos usuários do iPhone a partir de uma geolocalização específica que visitaram involuntariamente o site malicioso.

É possível que, depois de a Operação Zero adquirir a Coruna e potencialmente a vender ao governo russo, o corretor tenha revendido o kit de ferramentas a outra pessoa, talvez a outro corretor, a outro país, ou mesmo diretamente a cibercriminosos. O Tesouro alegou que um membro da gangue de ransomware Trickbot trabalhou com a Operação Zero, vinculando o corretor a hackers com motivação financeira.

Nesse ponto, a Coruna pode ter passado para outras mãos até chegar aos hackers chineses. De acordo com os promotores dos EUA, Williams reconheceu o código que ele escreveu e vendeu para a Operação Zero, posteriormente usado por um corretor sul-coreano.

Operação Triangulação

Pesquisadores do Google escreveram na terça-feira que duas explorações específicas do Coruna e vulnerabilidades subjacentes, chamadas Photon e Gallium por seus desenvolvedores originais, foram usadas como dia zero na Operação Triangulação, uma sofisticada campanha de hackers supostamente usada contra usuários russos do iPhone. A Operação Triangulação foi revelado pela primeira vez pela Kaspersky em 2023.

Rocky Cole, cofundador da iVerify, disse ao TechCrunch que “a melhor explicação baseada no que se sabe agora” aponta para Trenchant e o governo dos EUA como os desenvolvedores e clientes originais do Coruna. Embora, acrescentou Cole, ele não esteja afirmando isso “definitivamente”.

Essa avaliação, disse ele, é baseada em três fatores. A linha do tempo de uso de Coruna está alinhada com os vazamentos de Williams, a estrutura de três módulos – Plasma, Photon e Gallium – encontrados em Coruna tem fortes semelhanças com a Triangulação, e Coruna reutilizou algumas das mesmas explorações usadas naquela operação, disse ele.

De acordo com Cole, “pessoas próximas à comunidade de defesa” afirmam que o plasma foi usado na Operação Triangulação, “embora não haja nenhuma evidência pública disso”. (Cole trabalhou anteriormente na Agência de Segurança Nacional dos EUA.)

De acordo com o Google e o iVerify, o Coruna foi projetado para hackear modelos de iPhone rodando iOS 13 a 17.2.1, lançados entre setembro de 2019 e dezembro de 2023. Essas datas estão alinhadas com a linha do tempo de alguns vazamentos de Williams e a descoberta da Operação Triangulação.

Um dos ex-funcionários da Trenchant disse ao TechCrunch que quando a Triangulação foi revelada pela primeira vez em 2023, outros funcionários da empresa acreditavam que pelo menos um dos dias zero capturados pelo Kaspersky “era nosso e potencialmente ‘arrancado’ do” projeto abrangente que incluía Coruna.

Outra migalha que aponta para Trenchant – como observou o pesquisador de segurança Costin Raiu — é o uso de nomes de pássaros para algumas das 23 ferramentas, como Cassowary, Terrorbird, Bluebird, Jacurutu e Sparrow. Em 2021, O Washington Post revelou aquele azimute, uma das duas startups posteriormente adquirido pela L3Harris e fundido em Trenchantvendeu uma ferramenta de hacking chamada Condor ao FBI no infame caso de quebra do iPhone em San Bernardino.

Depois que a Kaspersky publicou sua pesquisa sobre a Operação Triangulação, o Serviço Federal de Segurança da Rússia (FSB) acusou a NSA de hackear “milhares” de iPhones na Rússia, visando em particular diplomatas. Um porta-voz da Kaspersky disse na época que a empresa não tinha informações sobre as alegações do FSB. O porta-voz observou que os “indicadores de comprometimento” – ou seja, evidências de um hack – identificados pelo Centro Nacional de Coordenação de Incidentes Informáticos da Rússia (NCCCI) eram os mesmos que a Kaspersky identificou.

Boris Larin, pesquisador de segurança da Kaspersky, disse ao TechCrunch por e-mail que “apesar de nossa extensa pesquisa, não podemos atribuir a Operação Triangulação a qualquer (Ameaça persistente avançada) agrupar ou explorar empresa de desenvolvimento.”

Larin explicou que o Google vinculou Coruna à Operação Triangulação porque ambos exploram as mesmas duas vulnerabilidades – Photon e Gallium.

“A atribuição não pode ser baseada apenas no facto da exploração destas vulnerabilidades. Todos os detalhes de ambas as vulnerabilidades estão disponíveis publicamente há muito tempo”, e portanto qualquer pessoa poderia ter tirado partido delas, disse ele, acrescentando que essas duas vulnerabilidades partilhadas “são apenas a ponta do iceberg”.

A Kaspersky nunca acusou publicamente o governo dos EUA de estar por trás da Operação Triangulação. Curiosamente, o logotipo que a empresa criou para a campanha — um logotipo de maçã composto por vários triângulos – lembra o logotipo L3Harris. Pode não ser uma coincidência. A Kaspersky já havia dito que não atribuiria publicamente uma campanha de hacking, ao mesmo tempo em que sinalizava discretamente que realmente sabia quem estava por trás dela ou quem forneceu as ferramentas para ela.

Em 2014, Kaspersky anunciado que havia capturado um sofisticado e esquivo grupo de hackers do governo conhecido como “Careto” (espanhol para “A Máscara”). A empresa apenas disse que os hackers falavam espanhol. Mas a ilustração de uma máscara que a empresa utilizou no seu relatório incluía as cores vermelha e amarela da bandeira de Espanha, chifres de touro e piercing no nariz, e castanholas.

Como o TechCrunch revelou no ano passadoos investigadores da Kaspersky concluíram, em privado, que “não havia dúvidas”, como disse um deles, de que a Careto era gerida pelo governo espanhol.

Na quarta-feira, o jornalista de segurança cibernética Patrick Gray disse em um episódio de seu podcast Risky Business que ele pensava – com base em “pedaços” sobre os quais estava confiante – que o que Williams vazou para a Operação Zero foi o kit de hacking usado na campanha de Triangulação.

Apple, Google, Kaspersky e Operation Zero não responderam aos pedidos de comentários.