Una nuova catena di exploit zero-day per iOS è stata recentemente identificata e collegata a campagne di sorveglianza silenziosa condotte da spyware mercenario. Questa minaccia, attribuita a un noto fornitore di sorveglianza commerciale, sfrutta una serie di vulnerabilità precedentemente sconosciute per passare da un semplice clic su un link in Safari all’installazione completa di spyware su iPhone mirati.
La campagna è stata osservata principalmente contro membri della società civile e figure politiche, evidenziando come fornitori di spyware ben finanziati continuino a sfruttare bug nel browser e nel kernel per condurre monitoraggi a lungo termine e in modo completamente occulto.
L’attacco inizia con l’invio di un link malevolo, spesso tramite app di messaggistica crittografata. Quando la vittima apre il link in Safari, il browser carica un exploit che sfrutta una vulnerabilità di remote code execution (RCE), successivamente corretta come CVE-2023-41993. Questa prima fase utilizza un framework di sfruttamento condiviso chiamato JSKit, che consente letture e scritture arbitrarie nel renderer di Safari, per poi passare all’esecuzione di codice nativo su versioni moderne di iOS.
Lo stesso framework JSKit è stato riutilizzato da altri fornitori di sorveglianza e attori statali dal 2021, dimostrando l’esistenza di un mercato attivo per componenti di exploit riutilizzabili.
Una volta compromesso il browser, la catena passa a una seconda fase avanzata che riesce a uscire dal sandbox di Safari e ad elevare i privilegi sfruttando vulnerabilità nel kernel, identificate come CVE-2023-41991 e CVE-2023-41992. Questa fase espone la lettura e la scrittura della memoria kernel a un payload di terzo livello, noto come PREYHUNTER.
PREYHUNTER è composto da moduli “helper” e “watcher” che verificano il dispositivo vittima, evitano analisi e avviano attività di sorveglianza precoce come registrazione di chiamate VoIP, keylogging e cattura della fotocamera, nascondendo le notifiche all’utente. Il modulo helper comunica con altri componenti tramite un socket Unix in /tmp/helper.sock, installando hook tramite framework interni come DMHooker e UMHooker. Questi hook si collegano a percorsi e servizi sensibili, abilitando la cattura audio, la registrazione degli input e controlli occulti prima dell’installazione completa dell’impianto Predator.
Il modulo watcher esegue costantemente scansioni alla ricerca di segni di analisi o debug, come la modalità sviluppatore, strumenti di jailbreak come frida o checkra1n, app di sicurezza come McAfee o AvastMobileSecurity, CA root personalizzate e proxy HTTP. Se vengono rilevati questi indicatori, la catena si interrompe per ridurre le tracce forensi.
Questa attenta suddivisione delle fasi, unita all’accesso a livello di kernel, dimostra un ecosistema maturo in cui sviluppatori di exploit, broker e operatori di spyware collaborano per mantenere le campagne di sorveglianza su iOS discrete e persistenti.
