Эксперты обнародовали детальный отчет о малвари TriangleDB, написанной на Objective-C, и рассказали, что имплант загружался на устройства после того, как атакующие получали root-права в результате успешной эксплуатации уязвимости в ядре iOS.Хакер Online
Затем вредоносная нагрузка инициализирует эксплуатацию ядра и загружает дополнительные компоненты через многослойную систему контейнеров с характерными магическими числами (0xBEDF00D, 0xF00DBEEF, 0x12345678).Хакер Online
Фреймворк поддерживает разные типы пакетов в зависимости от архитектуры — ARM64 и ARM64E — и подбирает загрузчик Mach-O с учетом версии прошивки, модели процессора и наличия разрешения iokit-open-service.Хакер Online
На этапе пост-эксплуатации модуль запуска повторно использует объекты ядра, созданные эксплоитом, очищает артефакты, внедряет стейджер в целевой процесс и активирует имплант.Хакер Online