Foi revelado que uma ferramenta de ataque usada em uma operação de hacking em grande escala visando usuários de iPhone na Ucrânia e na China provavelmente veio de um projeto interno do empreiteiro militar dos EUA L3Harris. A ferramenta foi originalmente personalizada para agências de inteligência ocidentais, mas acabou caindo nas mãos de agências de inteligência russas e de grupos cibercriminosos chineses, gerando maior preocupação sobre o risco de vazamento de armas cibernéticas militares-industriais.

O Google divulgou na semana passada que havia descoberto um sofisticado kit de ferramentas de ataque ao iPhone usado em várias rodadas de ataques globais em 2025. O kit de ferramentas, denominado “Coruna” por seus desenvolvedores originais, consiste em 23 componentes diferentes e foi usado pela primeira vez por um cliente governamental não identificado em “operações altamente direcionadas”, depois por espiões apoiados pelo governo russo contra um pequeno número de alvos ucranianos e, eventualmente, por cibercriminosos chineses em uma operação em grande escala para roubar fundos e criptomoedas. Uma análise independente da empresa de segurança móvel iVerify determinou que a ferramenta provavelmente foi desenvolvida originalmente por uma empresa que vende produtos ao governo dos EUA.

Dois ex-funcionários que trabalharam na Trenchant, braço de tecnologia de hacking e vigilância da L3Harris, confirmaram à mídia que pelo menos alguns componentes do Coruna foram desenvolvidos pela Trenchant, e ambos tiveram contato direto com ferramentas de ataque ao iPhone desenvolvidas pela empresa. As duas pessoas, que pediram anonimato, afirmaram que “Coruna é de fato o codinome de um componente interno” e disseram que os detalhes técnicos divulgados pelo Google eram “muito familiares”. Um dos ex-funcionários disse que o Coruna era um dos vários componentes e explorações incluídos no kit de ferramentas geral do Trenchant.

Informações públicas mostram que a L3Harris vende ferramentas de hacking e vigilância através do Trenchant ao governo dos EUA e aos seus aliados “Five Eyes”, com clientes limitados a agências de inteligência nos Estados Unidos, Reino Unido, Canadá, Austrália e Nova Zelândia. Sob a premissa de que os clientes são altamente restritos, considera-se que o Coruna foi provavelmente primeiro comprado e utilizado pela agência de inteligência de um dos países, e depois vazou de alguma forma e caiu nas mãos de outros atores. Não está claro exatamente quanto código no conjunto de ferramentas exposto do Coruna vem diretamente do L3Harris Trenchant.

A trajetória de proliferação transnacional da Coruna é muito semelhante ao caso do ex-gerente geral da Trenchant, Peter Williams, que vazou armas cibernéticas. De acordo com registros públicos, entre 2022 e meados de 2025, Williams vendeu oito ferramentas de ataque Trenchant para a empresa russa Operation Zero, ganhando aproximadamente US$ 1,3 milhão. O governo dos EUA acusou-o de usar “acesso total” à intranet Trenchant para roubar ferramentas que poderiam atacar “milhões de computadores e dispositivos em todo o mundo”, e foi considerado uma “traição” aos Estados Unidos e seus aliados. Williams foi condenado a sete anos de prisão em fevereiro, e a Operação Zero foi sancionada pelo Departamento do Tesouro dos EUA.

O Departamento do Tesouro dos EUA revelou que a Operação Zero alegou trabalhar apenas com o governo russo e empresas nacionais, mas as autoridades determinaram que vendeu as ferramentas roubadas por Williams a pelo menos “um utilizador não autorizado”. A investigação do Google revelou que a organização de espionagem russa UNC6353 obteve o Coruna através de canais desconhecidos e o implantou em sites ucranianos comprometidos para atingir usuários de localizações geográficas específicas que usam iPhones para acessar esses sites. Alguns analistas acreditam que depois de a Operação Zero revendê-las às autoridades russas, poderá continuar a revender as ferramentas a outros corretores, países ou mesmo diretamente a grupos cibercriminosos. A acusação dos EUA também mencionou que membros da gangue de ransomware Trickbot colaboraram com a Operação Zero, ligando o corretor a uma rede de hackers em busca de ganhos financeiros.

De acordo com os promotores dos EUA, Williams reconheceu o código que escreveu e vendeu para a Operação Zero, que mais tarde apareceu nas mãos de um intermediário sul-coreano. Isto também fornece um caminho possível para a forma como o Coruna acabou fluindo para os hackers chineses: em múltiplas rodadas de revenda e reutilização de código, a ferramenta se espalhou gradualmente do círculo de inteligência do governo para o ecossistema hacker mais amplo.

Os pesquisadores do Google apontaram que dois componentes de exploração específicos em Coruna, chamados “Photon” e “Gallium”, foram usados ​​como armas de vulnerabilidade de dia zero em uma operação de ataque sofisticada chamada “Operação Triangulação” (“Operação Triângulo”), que se acredita ter como alvo usuários de iPhone na Rússia. A Kaspersky Lab divulgou a Operação Triângulo pela primeira vez em 2023. O cofundador da iVerify, Rocky Cole, disse que, com base nas informações públicas atuais, a “explicação mais razoável” é que o desenvolvedor e o cliente original da Coruna são Trenchant e o governo dos EUA, respectivamente, mas enfatizou que este julgamento ainda não é “absolutamente conclusivo”.

O julgamento de Cole é baseado em três pontos: primeiro, o cronograma de uso do Coruna se sobrepõe fortemente ao caso de vazamento da Williams; segundo, a estrutura dos três módulos principais da Corunha, "Plasma", "Photon" e "Gálio", é muito semelhante aos módulos observados na "Operação Triângulo"; terceiro, Coruna reutiliza alguns códigos de ataque que foram usados ​​nessa operação. Revelou ainda que informações de “pessoas próximas da comunidade de defesa” alegavam que o módulo “Plasma” também tinha sido utilizado na “Operação Triângulo”, mas actualmente não existem provas públicas que apoiem isto. O próprio Cole já trabalhou para a Agência de Segurança Nacional (NSA).

A análise técnica do Google e iVerify mostra que o Coruna foi projetado para atacar iPhones rodando iOS 13 a iOS 17.2.1, cobrindo uma série de versões de sistema lançadas de setembro de 2019 a dezembro de 2023. Este período de tempo também coincide com a linha do tempo das ferramentas vazadas de Williams e a descoberta da Operação Triângulo. Um ex-funcionário da Trenchant lembrou que quando a Kaspersky divulgou pela primeira vez a “Operação Triângulo” em 2023, muitas pessoas dentro da empresa acreditavam que pelo menos uma das vulnerabilidades de dia zero capturadas “veio de nós” e pode ter sido “retirada” do projeto geral que incluía Coruna e colocada em uso.

O pesquisador de segurança Costin Raiu também destacou nas plataformas sociais que muitos componentes da ferramenta Coruna têm nomes de pássaros, como Cassowary, Terrorbird, Bluebird, Jacurutu, Sparrow, etc., o que está implicitamente relacionado à herança técnica de Trenchant. Já em 2021, o Washington Post informou que a Azimuth, uma empresa de segurança que mais tarde foi adquirida pela L3Harris e incorporada pela Trenchant, vendeu ao FBI uma ferramenta de cracking de iPhone chamada Condor, que foi usada para desbloquear o iPhone no famoso tiroteio em San Bernardino.

Depois que a “Operação Triângulo” foi exposta, o Serviço Federal de Segurança (FSB) da Rússia acusou a Agência de Segurança Nacional dos EUA de usar a ferramenta para hackear “milhares de iPhones” na Rússia, concentrando-se em alvos como diplomatas. A Kaspersky disse na época que não tinha conhecimento dos detalhes das acusações do FSB, mas destacou que os “indicadores de comprometimento” divulgados pelo Centro Nacional de Coordenação de Incidentes Cibernéticos (NCCCI) da Rússia eram consistentes com as evidências que a Kaspersky havia identificado anteriormente. No entanto, o pesquisador de segurança da Kaspersky, Boris Larin, disse que mesmo após extensa pesquisa, a “Operação Triângulo” ainda não pode ser atribuída a nenhum grupo conhecido de ameaças persistentes avançadas (APT) ou empresa de desenvolvimento de vulnerabilidades.

Larin explicou que a razão pela qual o Google associou Coruna à Operação Triângulo foi porque ambos exploravam as mesmas vulnerabilidades, Photon e Gallium. No entanto, partilhar a vulnerabilidade por si só não é suficiente para completar a atribuição, porque os detalhes destas duas vulnerabilidades são públicos há muito tempo e qualquer parte pode desenvolver a sua própria cadeia de ataque com base nisso. Ele enfatizou que essas duas vulnerabilidades comuns são “apenas a ponta do iceberg”. Vale ressaltar que embora a Kaspersky nunca tenha acusado publicamente o governo dos EUA de estar por trás da Operação Triângulo, o logotipo da Apple composto por vários triângulos desenhados pela empresa para esta operação é visualmente semelhante ao logotipo da marca L3Harris. Algumas pessoas acreditam que esta é uma técnica de “dica visual” comumente usada pela Kaspersky.

As práticas anteriores da Kaspersky parecem confirmar esta especulação. Em 2014, a empresa divulgou um grupo de hackers governamentais de alto nível chamado “Careto” (que significa “Máscara”). Mencionou apenas que os agressores eram em espanhol, mas a ilustração da máscara utilizada no relatório acrescentava as cores vermelha e amarela da bandeira espanhola, chifres de touro, argolas para o nariz, castanholas e outros elementos, o que se considerou implicar que os agressores estavam relacionados com o governo espanhol. Como relatos posteriores citaram fontes internas da Kaspersky, a equipe de pesquisa acreditava, em particular, que “não havia dúvida” de que Careto era uma operação liderada pelo governo espanhol.

A controvérsia em torno da Corunha também motivou o monitoramento contínuo da mídia. O repórter de segurança cibernética Patrick Gray disse no podcast “Risky Business” desta semana que Williams vendeu à Operação Zero exatamente a mesma estrutura de ataque usada na “Operação Triângulo” com base na “inteligência fragmentária” que ele tinha e na qual estava confiante. Atualmente, Apple, Google, Kaspersky e Operation Zero não responderam publicamente a esta questão.