Nạn nhân chủ yếu là nhân viên của công ty bảo mật Kaspersky tại Moscow. Ngoài ra, hàng nghìn người làm việc tại các đại sứ quán và phái đoàn ngoại giao ở Nga cũng bị ảnh hưởng bởi phần mềm gián điệp này.
Sau khi bị nhiễm mã độc, iPhone sẽ gửi ghi âm, ảnh, dữ liệu vị trí địa lý và các thông tin nhạy cảm khác đến máy chủ do kẻ tấn công điều khiển. Mặc dù khởi động lại iPhone có thể loại bỏ phần mềm độc hại, nhưng kẻ tấn công sẽ gửi một tin nhắn mới chứa spyware đến cùng một thiết bị và lặp lại quá trình lây nhiễm mỗi khi khởi động lại.
Hiện vẫn chưa rõ những kẻ tấn công đã làm cách nào tấn công phần cứng này và các nhà nghiên cứu cũng không biết mục đích đằng sau là gì. Thêm vào đó, giới chuyên gia cũng không rõ liệu phần cứng bị tấn công là bộ phận gốc của iPhone hay được kích hoạt bởi thành phần bên thứ ba như CoreSight của Arm.
Ngoài việc lây nhiễm vào các thiết bị iPhone của nhân viên Kaspersky, phần mềm gián điệp còn ảnh hưởng đến những chiếc iPhone được hàng ngàn người làm việc tại các đại sứ quán và cơ quan ngoại giao sử dụng.
Nhà nghiên cứu Boris Larin của Kaspersky cho biết trong một email: "Độ tinh vi của lỗ hổng và tính chất bí ẩn của tính năng này cho thấy kẻ tấn công có khả năng kỹ thuật cao. Phân tích của chúng tôi không tiết lộ họ biết về tính năng này như thế nào, nhưng chúng tôi đang xem xét tất cả các khả năng, bao gồm cả rò rỉ ngẫu nhiên trong firmware hoặc mã nguồn trước đây. Họ cũng có thể vô tình phát hiện ra nó thông qua việc dịch ngược phần cứng."
Phần mềm gián điệp và chiến dịch tấn công này được gọi là "Triangulation" và chứa 4 lỗ hổng zero-day. Điều đó cho thấy, những kẻ tấn công đã biết về những lỗ hổng này trước khi “Táo khuyết” phát hiện ra. Apple đã vá các lỗ hổng, lần lượt là: CVE-2023-32434; CVE-2023-32435; CVE-2023-38606; CVE-2023-41990;
Những lỗ hổng zero-day này không chỉ ảnh hưởng đến các mẫu iPhone mà là cả iPad, iPod, Mac, Apple TV và Apple Watch.
"Đây không phải là lỗ hổng thông thường. Do tính chất khép kín của hệ sinh thái iOS, quá trình phát hiện vừa khó khăn vừa tốn thời gian, đòi hỏi sự hiểu biết toàn diện về cả kiến trúc phần cứng và phần mềm. Điều này có nghĩa là gì? Khám phá này cho chúng ta thấy, ngay cả các biện pháp bảo vệ dựa trên phần cứng tiên tiến nhất cũng có thể trở nên vô hiệu khi đối mặt với kẻ tấn công tinh vi, đặc biệt là khi có các tính năng phần cứng vượt qua các biện pháp bảo vệ này.", Kaspersky cho biết thêm.
