Campanha de Hacking em Massa
Ferramentas de Hacking
Uma campanha de hacking em massa com foco em usuários de iPhone na Ucrânia e na China utilizou ferramentas que provavelmente foram desenvolvidas pela contratada militar dos Estados Unidos L3Harris, conforme apurado pelo TechCrunch. Essas ferramentas, originalmente destinadas a espiões ocidentais, acabaram nas mãos de diversos grupos de hackers, incluindo agentes do governo russo e cibercriminosos chineses.
Descoberta do Kit de Hacking
Na semana passada, o Google divulgou que, durante o ano de 2025, descobriu um sofisticado kit de hacking de iPhone que foi empregado em uma série de ataques globais. O kit, denominado “Coruna” pelo desenvolvedor original, é composto por 23 componentes diferentes e foi utilizado primeiramente em "operações altamente direcionadas" por um cliente governamental não revelado de um "fornecedor de vigilância" não especificado. Inicialmente, as ferramentas foram usadas por espiões do governo russo contra um número restrito de ucranianos e, finalmente, por cibercriminosos chineses em campanhas de grande escala, com o objetivo de roubar dinheiro e criptomoedas.
Análise de Especialistas
Pesquisadores da empresa de cibersegurança móvel iVerify, que analisaram Coruna de forma independente, acreditam que o kit pode ter sido originalmente criado por uma empresa que o vendeu ao governo dos EUA.
Desenvolvimento de Coruna
Dois ex-funcionários da L3Harris informaram ao TechCrunch que Coruna foi, pelo menos em parte, desenvolvido pela divisão de tecnologia de hacking e vigilância da empresa, conhecida como Trenchant. Ambos os ex-funcionários tinham conhecimento sobre as ferramentas de hacking de iPhone da companhia e optaram por se manifestar de forma anônima, pois não estavam autorizados a falar sobre seu trabalho.
Um dos funcionários expositou que "Coruna era definitivamente um nome interno de um componente", com base em sua experiência com as ferramentas de hacking de iPhone enquanto trabalhava na Trenchant.
Estrutura do Kit
Esse ex-colaborador também relatou que, ao analisar os detalhes técnicos, muitos deles eram familiarizados. Outro ex-empregado confirmou que alguns detalhes publicados no kit de hacking vieram da Trenchant.
A L3Harris vende as ferramentas de hacking e vigilância da Trenchant exclusivamente para o governo dos EUA e seus aliados da aliança de inteligência conhecida como Five Eyes, que inclui Austrália, Canadá, Nova Zelândia e Reino Unido. Dada a quantidade restrita de clientes da Trenchant, é provável que Coruna tenha sido inicialmente adquirida e utilizada por uma das agências de inteligência desses governos antes de cair em mãos não intencionais, embora não esteja claro quanto do kit de hacking Coruna foi realmente desenvolvido pela L3Harris Trenchant.
Um porta-voz da L3Harris não respondeu ao pedido de comentário.
Trajetória do Coruna
O processo de como Coruna foi transferido das mãos de um contratante do governo dos Five Eyes para um grupo de hacking do governo russo e, posteriormente, para uma gangue de cibercriminosos chineses é incerto. Contudo, algumas circunstâncias se assemelham ao caso de Peter Williams, ex-gerente geral da Trenchant. Entre 2022 e sua demissão em meados de 2025, Williams vendeu oito ferramentas de hacking da empresa à Operation Zero, uma companhia russa que oferece milhões de dólares em troca de exploits de zero-day, ou seja, vulnerabilidades desconhecidas pelo fornecedor afetado.
Williams, um cidadão australiano de 39 anos, foi condenado a sete anos de prisão no mês passado, após admitir ter roubado e vendido as oito ferramentas de hacking da Trenchant à Operation Zero por 1,3 milhão de dólares. O governo dos EUA declarou que Williams, que se aproveitou de ter “acesso completo” às redes da Trenchant, “traíra” os Estados Unidos e seus aliados. Os promotores o acusaram de vazar ferramentas que poderiam possibilitar a qualquer um que as utilizasse “acessar potencialmente milhões de computadores e dispositivos ao redor do mundo”, sugerindo que as ferramentas dependiam de vulnerabilidades que afetavam softwares amplamente utilizados, como o iOS.
Conexões com a Operation Zero
A Operation Zero, sancionada pelo governo dos EUA no mês passado, afirma trabalhar exclusivamente com o governo russo e empresas locais. O Tesouro dos EUA alegou que o intermediário russo vendeu as “ferramentas roubadas de Williams” para pelo menos um usuário não autorizado. Isso poderia explicar como o grupo de espionagem russo, identificado pelo Google apenas como UNC6353, adquiriu Coruna e o implantou em websites comprometidos da Ucrânia, de modo a hackear determinados usuários de iPhone que visitassem o site malicioso sem saber.
É possível que, uma vez que a Operation Zero adquiriu Coruna e potencialmente a vendeu ao governo russo, o intermediário tenha revendida o kit para outra parte, seja um outro intermediário, outro país ou até mesmo diretamente para cibercriminosos. O Tesouro alegou que um membro da gangue de ransomware Trickbot trabalhou com a Operation Zero, ligando o intermediário a hackers motivados financeiramente.
Nesse ponto, Coruna pode ter passado para outras mãos até chegar a hackers da China. De acordo com os promotores dos EUA, Williams reconheceu códigos que ele mesmo escreveu e vendeu à Operation Zero, que mais tarde foram utilizados por um intermediário sul-coreano.
Operação Triangulação
Na terça-feira, pesquisadores do Google relataram que dois exploits específicos de Coruna e as vulnerabilidades subjacentes, chamadas Photon e Gallium por seus desenvolvedores originais, foram utilizados como zero-days na Operação Triangulação, uma sofisticada campanha de hacking supostamente utilizada contra usuários de iPhone na Rússia. A Operação Triangulação foi revelada pela primeira vez pela Kaspersky em 2023.
Rocky Cole, co-fundador da iVerify, informou ao TechCrunch que “a melhor explicação, com base no que é conhecido até agora”, aponta que a Trenchant e o governo dos EUA foram os desenvolvedores e clientes originais de Coruna. No entanto, Cole acrescentou que não está fazendo essa afirmação “definitivamente”.
Avaliação dos Componentes
Esse julgamento é fundamentado em três fatores. O cronograma de uso de Coruna alinha-se com os vazamentos de Williams; a estrutura de três módulos — Plasma, Photon e Gallium — encontrados em Coruna apresenta semelhanças marcantes com a Triangulação; e Coruna reutilizou algumas das mesmas vulnerabilidades empregadas nessa operação.
De acordo com Cole, "pessoas próximas à comunidade de defesa" afirmam que Plasma foi utilizado na Operação Triangulação, “embora não haja evidências públicas disso”. (Cole trabalhou anteriormente na Agência de Segurança Nacional dos EUA.)
Conforme indicado pelo Google e iVerify, Coruna foi projetado para hackear modelos de iPhone que executam o iOS 13 até 17.2.1, lançados entre setembro de 2019 e dezembro de 2023. Essas datas coincidem com o cronograma de alguns dos vazamentos de Williams e a descoberta da Operação Triangulação.
Indícios Internos
Um dos ex-funcionários da Trenchant mencionou ao TechCrunch que, quando a Triangulação foi revelada pela primeira vez em 2023, outros funcionários da empresa acreditavam que pelo menos um dos zero-days capturados pela Kaspersky “era nosso e potencialmente ‘retirado’ do” projeto abrangente que incluía Coruna.
Um outro indício que aponta para a Trenchant — como notou o pesquisador de segurança Costin Raiu — é a utilização de nomes de pássaros para algumas das 23 ferramentas, como Cassowary, Terrorbird, Bluebird, Jacurutu e Sparrow. Em 2021, o Washington Post revelou que Azimuth, uma das duas startups adquiridas pela L3Harris e agora fundida ao Trenchant, havia vendido uma ferramenta de hacking chamada Condor para o FBI no infame caso de quebra de senha do iPhone de San Bernardino.
Após a Kaspersky publicar sua pesquisa sobre a Operação Triangulação, o Serviço Federal de Segurança da Rússia (FSB) acusou a NSA de hackear “milhares” de iPhones na Rússia, alvejando especialmente diplomatas. Um porta-voz da Kaspersky, na época, afirmou que a empresa não tinha informações sobre as alegações do FSB, mas confirmou que “indicadores de comprometimento” — evidências de um hack — identificados pelo Centro Nacional de Coordenação de Incidentes de Computação da Rússia (NCCCI) eram os mesmos que a Kaspersky havia identificado.
Atribuição em Investigação
Boris Larin, um pesquisador de segurança da Kaspersky, comunicou ao TechCrunch por e-mail que, “apesar de nossa extensa pesquisa, não conseguimos atribuir a Operação Triangulação a qualquer [grupo de ameaça persistente avançada] conhecido ou a qualquer empresa de desenvolvimento de exploits”.
Larin explicou que o Google vinculou Coruna à Operação Triangulação porque ambas exploram as mesmas duas vulnerabilidades — Photon e Gallium. "A atribuição não pode ser baseada exclusivamente no fato da exploração dessas vulnerabilidades. Todos os detalhes de ambas as vulnerabilidades estão há muito disponíveis publicamente,” e, assim, qualquer um poderia se aproveitar delas, disse, adicionando que essas duas vulnerabilidades compartilhadas “são apenas a ponta do iceberg”.
A Kaspersky nunca acusou publicamente o governo dos EUA de estar por trás da Operação Triangulação. Curiosamente, o logotipo que a empresa criou para a campanha — um logotipo de maçã composto por vários triângulos — lembra o logotipo da L3Harris, e o próprio logotipo da Trenchant é formado por dois triângulos. Isso pode não ser uma coincidência. A Kaspersky já afirmou anteriormente que não atribuiria publicamente uma campanha de hacking enquanto sinalizava discretamente que sabia na verdade quem estava por trás dela ou quem forneceu as ferramentas para tal operação.
Em 2014, a Kaspersky anunciou que havia capturado um grupo de hackers sofisticado e evasivo do governo conhecido como “Careto” (que em espanhol significa "A Máscara"). A empresa apenas informou que os hackers falavam espanhol. No entanto, a ilustração de uma máscara que a empresa utilizou em seu relatório incluiu as cores vermelha e amarela da bandeira da Espanha, chifres de touro e castanets.
Considerações Finais
Como revelado pelo TechCrunch no ano passado, pesquisadores da Kaspersky haviam concluído em particular que “não havia dúvida”, como um deles afirmou, de que o Careto era operado pelo governo espanhol. Na quarta-feira, o jornalista de cibersegurança Patrick Gray comentou em um episódio de seu podcast Risky Business que acredita — com base em "pedaços e partes" sobre os quais está confiante — que o que Williams vazou à Operation Zero foi o kit de hacking utilizado na campanha de Triangulação.
A Apple, Google e Operation Zero não responderam a pedidos de comentários.
