unc6691 - RunkIntel

# UNC6691 > [!warning] Grupo de Espionagem Móvel — iOS Zero-Days > **UNC6691** é um grupo de espionagem identificado pela Mandiant que desenvolve e utiliza exploits zero-day para iOS, com foco em comprometimento de dispositivos de alvos de alto valor em governo e tecnologia. Associado a cadeias de exploração de WebKit e kernel iOS. ## Visão Geral UNC6691 é um grupo de ameaça identificado pela Mandiant, especializado em exploração de dispositivos iOS via zero-days de WebKit e cadeia de exploração completa para comprometimento de dispositivos Apple. O grupo representa a categoria de atores com capacidade ofensiva de alto nível contra plataformas móveis — uma categoria que inclui NSO Group, FORCEDENTRY (NSO), e operadores similares. O grupo foi identificado em campanhas de entrega de exploits iOS via links maliciosos (drive-by) direcionados a indivíduos de alto perfil em governo e tecnologia. A cadeia de exploração típica envolve vulnerabilidades no engine WebKit do Safari para execução de código no renderer, seguida de exploits de escalação de privilégios no kernel iOS. A atribuição a nexo específico de estado-nação permanece inconclusiva na literatura pública disponível, embora o perfil de alvos e a sofisticação técnica indiquem espionagem patrocinada por estado, possívelmente com nexo chinês ou de contratante privado. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nIdentificação de alvo\nLinkedIn / OSINT] --> B[Entrega\nLink malicioso\nSMS / WhatsApp / iMessage] B --> C[Exploração WebKit\nZero-day iOS Safari\nSem interação do usuário] C --> D[Escalação Kernel\nPrivilege escalation\nJailbreak silencioso] D --> E[Implante\nSpyware persistente\nAcesso total ao dispositivo] E --> F[Exfiltração\nMensagens / Localização\nMicrofone / Câmera] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit iOS/Firmware | [[t1404-exploit-device-firmware\|T1404]] | WebKit zero-days em iOS | | Drive-by Compromise | [[t1456-drive-by-compromise\|T1456]] | Links maliciosos via mensagens | | Protocolo C2 Móvel | [[t1437-application-layer-protocol\|T1437]] | Exfiltração via HTTPS | | Captura de Vídeo | [[t1512-video-capture\|T1512]] | Câmera ativada remotamente | ## Detecção e Defesa - Manter iOS atualizado para a versão mais recente — patches de WebKit são críticos - Usar **Lockdown Mode** no iPhone para indivíduos de alto risco - Executar **Mobile Verification Toolkit (MVT)** para verificação de comprometimento - Evitar clicar em links de remetentes desconhecidos via SMS/iMessage - Revisar permissões de apps para câmera, microfone e localização regularmente ## Referências - Mandiant: UNC6691 iOS exploitation analysis (2023-2024) - Citizen Lab: iOS zero-day campaigns against journalists (2023) - Apple: Security Updates for WebKit zero-days (2023) - Google Project Zero: WebKit exploitation techniques (2023) - NSO Group / Pegasus research — perfil relacionado: [[nso-group-pegasus]]