# Operation Triangulation ## Visão Geral **Operation Triangulation** é uma campanha de espionagem cibernética de nível APT que explorou quatro vulnerabilidades zero-day encadeadas em iOS para implantar o spyware modular [[TriangleDB]] em dispositivos-alvo de alto valor. Descoberta pela equipe GReAT da Kaspersky em meados de 2023 após detecção de tráfego anômalo em sua rede corporativa, a operação estava ativa desde pelo menos janeiro de 2019 - acumulando quase cinco anos sem detecção pública. O vetor de ataque é um **zero-click via iMessage**: a vítima não precisa abrir mensagem nem interagir com qualquer conteúdo. Um arquivo malicioso invisível é processado automaticamente pelo iOS, desencadeando uma cadeia de exploração de 14 etapas que culmina na instalação do implante [[TriangleDB]] com controle total sobre o dispositivo. Os atacantes nunca foram atribuídos públicamente a nenhum grupo conhecido. **Motivação inferida:** Espionagem estratégica - coleta de inteligência de alto valor de alvos selecionados (diplomatas, pesquisadores, lideranças corporativas). **Relevância LATAM/Brasil:** Embora os alvos confirmados estejam concentrados na Rússia e países vizinhos, a técnica de exploração de zero-days em iOS para espionagem é relevante para qualquer organização com perfil de alto valor no Brasil - especialmente governo, diplomacia e setores estratégicos. A descoberta reforça a necessidade de monitoramento de tráfego de rede mesmo em dispositivos móveis corporativos. ## Attack Flow ```mermaid flowchart TD A["📩 iMessage com anexo invisível"] --> B["CVE-2023-41990<br/>RCE via fonte ADJUST TrueType"] B --> C["CVE-2023-32435<br/>Exploração WebKit/JavaScriptCore<br/>11.000+ linhas JS ofuscado"] C --> D["CVE-2023-32434<br/>Overflow inteiro no kernel XNU<br/>Leitura/escrita de memória física"] D --> E["CVE-2023-38606<br/>Bypass de hardware (MMIO)<br/>Contorna Page Protection Layer"] E --> F["🦠 Implante TriangleDB instalado"] F --> G["Limpeza de rastros<br/>via IMAgent + Safari invisível"] G --> H["C2 ativo<br/>Exfiltração de dados"] ``` ## CVEs Exploradas | CVE | Componente | Impacto | Corrigido em | |-----|-----------|---------|--------------| | [[cve-2023-41990\|CVE-2023-41990]] | iMessage - fonte ADJUST TrueType | RCE inicial via instrução não documentada | iOS 16.6 | | [[cve-2023-32435\|CVE-2023-32435]] | WebKit/JavaScriptCore | Escalada de privilégios, bypass PAC | iOS 16.5.1 | | [[cve-2023-32434\|CVE-2023-32434]] | Kernel XNU (vm_map) | Overflow inteiro → acesso à memória física | iOS 15.x/16.x | | [[cve-2023-38606\|CVE-2023-38606]] | Hardware Apple SoC (MMIO) | Bypass de Page Protection Layer via recurso não documentado | iOS 16.6 | ## Atores Envolvidos O grupo responsável pela **Operation Triangulation** permanece **não atribuído** públicamente. Nenhuma firma de segurança ou agência governamental fez atribuição formal a um ator estatal específico. A sofisticação técnica - particularmente a descoberta e exploração de um recurso de hardware não documentado nos chips Apple (CVE-2023-38606) - sugere um ator com recursos de nível Tier 1, comparável aos maiores programas de ofensiva cibernética do mundo. A Kaspersky, principal vítima investigada e descobridora da campanha, optou por não especular públicamente sobre atribuição. Agências russas sugeriram envolvimento dos EUA, afirmação sem evidências técnicas públicadas. ## Malware: TriangleDB O [[TriangleDB]] é um implante modular com as seguintes capacidades: - **Coleta de dados:** keychain, chats WhatsApp/Telegram, arquivos do dispositivo, localização geográfica - **Vigilância:** gravação de microfone (inclusive com dispositivo em modo avião), capturas de tela - **Consultas de banco de dados:** acesso a bancos SQLite internos de aplicativos - **Sem persistência:** o implante não sobrevive ao reboot - depende de reinfecção via iMessage ## Impacto LATAM/Brasil Nenhum alvo confirmado na América Latina. Impacto regional é **indireto**: - Reforça que dispositivos iOS não são imunes a exploração avançada - mito comum entre executivos brasileiros - Organizações governamentais e diplomáticas brasileiras devem rever políticas de uso de dispositivos pessoais (BYOD) para funções sensíveis - A técnica de monitoramento de rede que permitiu a descoberta (análise de tráfego de dispositivos em Wi-Fi corporativo via [[KUMA]]) é replicável e recomendada para organizações de alto perfil ## Indicadores Os indicadores de comprometimento incluem: - Tráfego de rede anômalo originado de dispositivos iOS para domínios C2 (padrão de beacon) - Arquivos de backup iOS (iTunes/iCloud) com artefatos de execução iMessage suspeitos - Análise via MVT-iOS (Mobile Verification Toolkit) - ferramenta recomendada para triagem de dispositivos suspeitos ## Mitigação - Manter iOS sempre atualizado - todas as quatro CVEs foram corrigidas nas versões disponíveis - Monitorar tráfego de rede de dispositivos iOS em redes corporativas via SIEM/NDR - Usar MVT-iOS periodicamente para triagem de dispositivos de alto risco - Avaliar uso de **Lockdown Mode** (iOS 16+) para perfis de altíssimo risco (executivos, diplomatas, jornalistas) - Considerar dispositivos dedicados para comúnicações sensíveis, separados de uso pessoal **Malware:** [[TriangleDB]] **CVEs:** [[cve-2023-41990|CVE-2023-41990]] · [[cve-2023-32435|CVE-2023-32435]] · [[cve-2023-32434|CVE-2023-32434]] · [[cve-2023-38606|CVE-2023-38606]] **TTPs:** [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] · [[t1055-process-injection|T1055 - Process Injection]] · [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] **Campanhas relacionadas:** [[operation-dreamjob|Operation DreamJob]] · [[microsoft-corporate-breach-2024|Microsoft Corporaté Breach 2024]] **Setores:** [[government]] · [[technology]] · [[diplomacia]]