Source: GitHub (wh1te4ever). Contexte: l’auteur analyse l’apparition de composants « vphone600ap » dans les firmwares PCC (cloudOS 26) d’Apple fin 2025 et publie un write-up détaillant la construction d’un iPhone virtuel, en s’appuyant sur des outils de virtualisation Apple et des patchs du firmware pour la recherche sécurité.

L’auteur adapte super-tart en s’appuyant sur Virtualization.framework et des binaires AVPBooter/AVPSEPBooter de recherche, force un modèle matériel spécifique (VRESEARCH101), configure le SEP, le NVRAM/auxiliary storage et un écran iPhone (résolution d’un 14 Pro Max/15 Plus/15 Pro Max/16 Plus). Le VM expose clavier, multi-touch et graphiques via VZMacGraphicsDevice.

Côté firmware, le write-up décrit un « mix » de composants cloudOS 26.1 et iOS 26.1 (iPhone16) via BuildManifest/Restore.plist, et des patchs inspirés de vma2pwn: désactivation de vérifications IMG4 dans le BootROM/bootloaders (iBSS/iBEC/LLB), ajout d’arguments de boot pour logs série, contournement de la SSV (Signed System Volume) dans le kernel, et assouplissement du trustcache/TXM pour charger du code non signé. Les images sont reconstruites en IM4P en préservant la structure PAYP, puis restaurées en DFU avec idevicerestore/libirecovery (IM4M nécessaire). Un SSH Ramdisk est construit pour modifier le rootfs, renommer le snapshot et injecter des fichiers manquants (dyld cache/Cryptex) 🛠️.

Pour corriger un échec de boot (panic launchd dû à l’absence de libSystem.B.dylib dans le dyld_shared_cache), l’auteur installe les Cryptex SystemOS et AppOS (décryptage AEA, montage, copie sur /System/Cryptexes), crée des liens symboliques vers les caches dyld, patche seputil (gestion du gigalocker) et launchd_cache_loader (chargement d’un launchd.plist modifié), puis ajoute des LaunchDaemons pour démarrer automatiquement bash, dropbear et trollvnc. Après une première tentative échouant sur l’écran de configuration (respring), il implémente Metal en important le bundle AppleParavirtGPU de PCC et en réalisant la pièce manquante (libAppleParavirtCompilerPluginIOGPUFamily.dylib) pour permettre à MTLCreateSystemDefaultDevice de retourner un périphérique valide 🎛️.

Compatibilité: fonctionne sur Apple Silicon (tests sur M3/Sequoia 15.7.4 et M1 Pro/Tahoe 26.3) et les cibles supportant pccvre. Sur Sequoia, l’interaction tactile requiert une surcharge des événements souris; une solution de contournement via VNC est utilisée pour l’absence de bouton Home. Le write-up vise la recherche et le débogage kernel (DFU, GDB, logs série), avec mention de prérequis comme la désactivation de SIP/AMFI.

TTPs observés:

  • Ingénierie inverse/patchs du bootchain: contournement des vérifications IMG4 (BootROM, iBSS, iBEC, LLB) et activation de logs série
  • Contournement SSV/APFS dans le kernel pour monter un rootfs modifié et charger un Cryptex arbitraire
  • Assouplissement du trustcache/TXM pour exécuter du code non inscrit
  • Restauration DFU et construction/signature d’images IM4P/IMG4 avec IM4M (SHSH)
  • Déploiement d’un SSH Ramdisk, modifications du snapshot, injection de daemons (bash, dropbear, trollvnc)
  • Portage de pilotes/bundles AppleParavirtGPU pour activer Metal dans l’environnement virtuel

IOCs: Aucun indicateur réseau ou artefact malveillant listé. Le document est un write-up de recherche technique détaillant des techniques et patchs de bas niveau dans un but de virtualisation et de debug 🔬.

Type d’article: publication de recherche technique focalisée sur la virtualisation d’iOS et le contournement de mécanismes d’intégrité pour la recherche.

🧠 TTPs et IOCs détectés

TTP

Ingénierie inverse/patchs du bootchain: contournement des vérifications IMG4 (BootROM, iBSS, iBEC, LLB) et activation de logs série; Contournement SSV/APFS dans le kernel pour monter un rootfs modifié et charger un Cryptex arbitraire; Assouplissement du trustcache/TXM pour exécuter du code non inscrit; Restauration DFU et construction/signature d’images IM4P/IMG4 avec IM4M (SHSH); Déploiement d’un SSH Ramdisk, modifications du snapshot, injection de daemons (bash, dropbear, trollvnc); Portage de pilotes/bundles AppleParavirtGPU pour activer Metal dans l’environnement virtuel

IOC

Aucun indicateur réseau ou artefact malveillant listé

🔗 Source originale : https://github.com/wh1te4ever/super-tart-vphone-writeup