A campanha de hackers em massa na Ucrânia e na China usou ferramentas para usuários do iPhone na Ucrânia, que provavelmente eram do empreiteiro militar L3Harris, descobriu o TechCrunch. As ferramentas, destinadas a espiões ocidentais, estão nas mãos de vários grupos, incluindo agências governamentais russas e cibercriminosos chineses.
Na semana passada, o Google revelou que durante 2025 um sofisticado kit de ferramentas para capas de iPhone foi usado em uma série de ataques globais. A ferramenta, a “Coroa” desenvolvida a partir do seu original, é composta por 23 elementos diferentes, inicialmente “em operações altamente direcionadas” denominadas pelo regime anônimo de Custo-dita “vendedor custodiante”. Desde então, tem sido usado pelo governo russo como espião contra uma minoria de ucranianos e, finalmente, por cibercriminosos chineses em campanhas de “larga escala” com o objetivo de roubar dinheiro e criptomoedas.
Pesquisadores da empresa de segurança cibernética móvel iVerify, que “ A coroa é analisada de forma independenteEles disseram que podiam acreditar que era de uma empresa que vendeu o governo dos EUA.
Dois ex-funcionários da empresa governamental L3Harris disseram ao TechCrunch que o Crown foi desenvolvido, pelo menos em parte, pela divisão de tecnologia de hacking e vigilância da empresa, Trenchant. Os dois ex-funcionários estavam cientes da invasão do iPhone pela empresa. Ambos falaram sob condição de anonimato porque não estavam autorizados a falar sobre seu trabalho na empresa.
“Crown era definitivamente o nome interno do componente”, disse um ex-funcionário da L3Harris, que estava familiarizado com os dispositivos iPhone mortos como parte de seu trabalho na Trenchant.
“Olhando para os detalhes técnicos”, disse ele, referindo-se a algumas das evidências publicadas pelo Google, “muitas são conhecidas”.
Contate-nos
Você tem mais informações sobre o Crown ou outras ferramentas governamentais de hacking e spyware? Quando o dispositivo não estiver funcionando, você pode entrar em contato com Laurentius Franceschi-Bicchierai com segurança pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou por e-mail.
O ex-funcionário disse que a suspensão do kit de ferramentas Trenchant resultou em vários compostos diferentes, incluindo Crown e eventos relacionados. Outro ex-funcionário confirmou alguns dos detalhes contidos em um kit de ferramentas de hacking publicado pela Trenchant.
A L3Harris Trenchant vende equipamentos de hacking e vigilância exclusivamente ao governo dos EUA e aos seus parceiros na chamada aliança de inteligência Five Eyes, que inclui Austrália, Canadá, Nova Zelândia e Reino Unido. Dado o número limitado de clientes de Trenchant, é possível que Coruna tenha sido adquirido e usado pela primeira vez por uma dessas agências de inteligência do governo antes de cair em mãos involuntárias. Não está claro quantos editores do kit de ferramentas de hacking Coruna foram desenvolvidos por L3Harris Trenchant.
Um porta-voz da L3Harris não respondeu a um pedido de comentário.
Não está claro como a coroa passou das mãos do empreiteiro do governo Five Eyes para um grupo de hackers do governo russo e depois para uma gangue chinesa de crimes cibernéticos.
Mas algumas circunstâncias parecem semelhantes às de Peter Williams, gerente geral da Trenchant. De 2022 a meados de 2025, informou Williams, ele vendeu oito ferramentas de hacking para a empresa Zero Tools, uma empresa russa que oferece milhões de dólares em troca de transações de dia zero, o que significa vulnerabilidades que são desconhecidas do fornecedor afetado.
Williams, um cidadão australiano de 39 anos, foi condenado a sete anos de prisão no mês passado depois de admitir ter roubado e vendido oito ferramentas Trenchant para a Operação Zero no valor de US$ 1,3 milhão.
O governo dos EUA disse que Williams, que tinha “acesso total” à rede Trenchant, “traiu” os Estados Unidos e seus aliados. Os promotores o acusaram de vazar ferramentas que poderiam ter permitido a qualquer pessoa “acessar potencialmente milhões de computadores e dispositivos em todo o mundo”, sugerindo que as ferramentas usavam vulnerabilidades que dependiam em grande parte do software iOS.
A Operação Zero, aprovada no mês passado pelo governo dos EUA, afirma trabalhar apenas com o governo russo e empresas locais. O Tesouro dos EUA alegou que a corretora russa foi vendida à Williams “com benefícios retirados de pelo menos um usuário estrangeiro”.
Isso explicaria como um grupo russo, conhecido apenas pelo Google como UNC6353, adquiriu o Crown e o implantou em locais suspeitos na Ucrânia para atingir usuários específicos do iPhone a partir de uma geolocalização específica que, sem saber, visitaram um site malicioso.
É possível que, uma vez que a Operação Zero adquiriu a Coroa e potencialmente a vendeu ao governo russo, o setor reatribuiu a ferramenta a outra entidade, talvez outro setor, outro país, ou mesmo diretamente a um cibercriminoso. O Tesouro afirmou que um membro da equipe do ransomware Trickbot trabalhou com a Operação Zero, ligando o setor financeiro ao motivo dos hackers.
Nesse ponto, a Coroa pode ter passado para outras mãos até a chegada dos hackers chineses. De acordo com os promotores dos EUA, Williams admitiu que o código que escreveu e vendeu para a Operação Zero foi posteriormente usado por um hacker sul-coreano.
Operação Triangulação
Pesquisadores do Google escreveram na terça-feira que duas explorações específicas da Crown e vulnerabilidades subjacentes, chamadas Photon e Gallium por seus desenvolvedores originais, foram usadas na Operação Triangulação, uma sofisticada campanha de hackers usada contra usuários russos do iPhone. A operação de triangulação foi revelada pela primeira vez pela Kaspersky em 2023.
Rocky Cole, cofundador da iVerify, disse ao TechCrunch que “a melhor explicação do que se sabe atualmente” mostra que Trenchant e o governo dos EUA são os desenvolvedores e clientes originais do Crown. Embora, acrescentou Cole, isso “definitivamente” não seja solicitado.
Esse imposto, diz ele, é acordado pela tribo. A linha do tempo de uso de Coruna está alinhada com o vazamento de Williams, a estrutura dos três módulos – Plasma, Fóton e Gálio – foi encontrada em Coruna como tendo fortes semelhanças com a Triangulação, e Coruna disse que algumas das mesmas coisas foram usadas naquela operação.
Segundo Cole, “pessoas para proteger a comunidade” afirmam que o Plasma foi usado na operação de Triangulação, “embora não haja nenhuma evidência pública disso”. (Cole trabalhou anteriormente na Agência de Segurança Nacional dos EUA).
De acordo com o Google e o iVerify, o Crown foi projetado para matar modelos de iPhone rodando iOS 13 a 17.2.1, entre setembro de 2019 e dezembro de 2023. As datas foram divulgadas com a linha do tempo de alguns filhos de Williams e a descoberta da Operação Triangulação.
Um dos ex-funcionários de Trenchant disse ao TechCrunch que quando a Triangulação foi revelada pela primeira vez em 2023, outros funcionários da empresa acreditavam que pelo menos um dos 10 dias em que o Kaspersky havia “foi capturado por nós e potencialmente” arrancado “da Coroa incluída”.
Outro pedaço de pão que vai para Trenchant – como observou o pesquisador de segurança Costin Raiu – utilizou termos de pássaros para cerca de 23 instrumentos, como Cassowary, Terrorbird, Bluebird, Jacurutu, Sparrow. Em 2021, Conforme revelado no Washington Post aquele azimute uma das duas startups mais tarde adquiriu a L3Harris e Trenchant vai misturarele vendeu uma ferramenta de hacking chamada Condor para o FBI no infame caso de quebra do iPhone em San Bernardino.
Depois que a Kaspersky publicou sua investigação sobre a Operação Triangulação, o Ministério Federal de Segurança (FSB) da Rússia acusou a NSA de hackear “milhares” de iPhones na Rússia, principalmente destinados a diplomatas. Um porta-voz da Kaspersky disse na época que a empresa não tinha notícias das exigências do FSB. O porta-voz observou que os “indicadores de comprometimento” – as evidências de hack – fornecidos pelo Centro Nacional de Coordenação de Incidentes de Computador da Rússia (NCCCI) eram os mesmos que a Kaspersky havia identificado.
Boris Larin, pesquisador de segurança da Kaspersky, disse ao TechCrunch por e-mail que “apesar de nossas extensas investigações, não podemos atribuir a Operação Triangulação a nenhum grupo conhecido (Ameaça Persistente Avançada) ou empresa de desenvolvimento criminoso”.
Larin explicou que a Coroa do Google estava ligada à Operação Triangulação porque ambos compartilham as mesmas vulnerabilidades – Photon e Gallium.
“A atribuição não pode ser baseada apenas no fato de que as explorações dessas vulnerabilidades. Todas as vulnerabilidades de ambas estão disponíveis publicamente há muito tempo” e, portanto, qualquer pessoa poderia usá-las, disse ele, acrescentando que as duas vulnerabilidades comuns são a ponta do iceberg.
A Kaspersky nunca acusou publicamente o Governo Federal de Operação Triangulação. Curiosamente, o logotipo que a empresa criou para a guerra é um logotipo ruim de vários triângulos – é como no logotipo da L3Harris. Não é acidental. Anteriormente, a Kaspersky disse que não atribuiria publicamente a campanha de hacking, ao mesmo tempo que indicava discretamente que sabia quem estava por trás dela ou que fornecia ferramentas para ela.
Em 2014, Kaspersky anunciado ele foi pego por um grupo de hackers governamental sofisticado e enganoso, comumente conhecido como “Careto” (máscara em espanhol). A empresa apenas disse que os hackers falavam espanhol. Mas um exemplo de máscara que a empresa incluiu em seu relatório é a bandeira vermelha e amarela da Espanha, chifres de touro, nariz anelado e uma cascavel.
Tal como o TechCrunch revelou no ano passado, os investigadores da Kaspersky concluíram, em privado, que “não há dúvida”, como disse um deles, de que o Careto era gerido pelo governo espanhol.
Na quarta-feira, o jornalista de segurança cibernética Patrick Gray Ele disse em um episódio de seu podcast Risky Business ele pensa – a partir de “pedaços” sobre os quais está confiante – que Williams vazou para a Operação Zero, o kit usado na campanha de Triangulação.
Apple, Google, Kaspersky e No Operation não responderam aos pedidos de comentários.
