Fue identificado por primera vez en junio de 2023 y se distingue por su complejidad técnica sin precedentes entre los ataques a iOS.
Estos filtros permiten infectar solo a objetivos específicos y, de ese modo, evitar ser detectados por expertos en ciberseguridad.
[15] El código malicioso se ejecuta cuando un iPhone recibe un iMessage especialmente diseñado e invisible para el usuario.
Luego, se descargan componentes adicionales desde los servidores de mando de Operation Triangulation que otorgan privilegios en el dispositivo infectado y despliegan un software espía con amplio acceso a su contenido y funciones.
Este validador binario también elimina rastros del iMessage recibido y, finalmente, carga TriangleDB, el implante malicioso principal.
Los investigadores de Kaspersky sugieren que este mecanismo probablemente fue creado para la depuración del propio procesador.
[16] Algunos expertos sostienen que "muy pocos, o nadie, excepto Apple y proveedores de chips como ARM Holdings", podrían saber sobre esta función.
Algunos módulos adicionales sobre los que se tiene conocimiento permiten acceder al micrófono por tiempo prolongado (aunque el móvil esté en modo avión), ejecutar consultas en bases de datos almacenadas en el dispositivo y robar chats WhatsApp y Telegram.
Dado que no es posible acceder a estos archivos desde el propio dispositivo, se recomienda hacer una copia de seguridad del iPhone en iTunes y luego analizarla con la herramienta triangle_check.
Eliminación de la infección Para dispositivos que ya han sido comprometidos, los expertos recomiendan seguir los siguientes pasos para evitar la reinfección: restablecer valores de fábrica, desactivar iMessage, actualizar iOS a una versión más reciente.
[21] Kaspersky no ha emitido declaraciones oficiales sobre el origen del ataque ni lo ha atribuido a ningún grupo o país.
[27] El código utilizado por Operation Triangulation ha sido calificado como el más complejo de la historia.