Pesquisadores do Google e da iVerify revelaram detalhes sobre um sofisticado framework de exploração para iOS chamado Coruna. A ferramenta é capaz de explorar 23 vulnerabilidades distintas e contornar múltiplas camadas de proteção do sistema da Apple.O caso é considerado o primeiro registro conhecido de exploração em massa de iPhones conduzida por um grupo criminoso utilizando ferramentas com características típicas de desenvolvimento estatal.
Um framework de nível estatal
De acordo com o Google Threat Intelligence Group, o Coruna utiliza uma cadeia de exploração complexa composta por cinco técnicas avançadas de bypass de segurança. A arquitetura é modular, altamente refinada e demonstra um nível de investimento estimado em milhões de dólares.
Esses fatores indicam que o desenvolvimento provavelmente envolveu um ator com grande capacidade técnica e financeira, possivelmente vinculado a um Estado.
Da vigilância direcionada ao crime financeiro
As primeiras evidências do Coruna surgiram em fevereiro de 2025, quando técnicas associadas ao kit foram atribuídas a um cliente de uma empresa de vigilância comercial não identificada.
Meses depois, uma versão mais completa foi identificada em operações conduzidas por grupos de espionagem russos. O código malicioso estava oculto em um componente legítimo de contagem de visitantes presente em sites ucranianos. Elementos do framework também apresentaram similaridades com a chamada Operação Triangulação, campanha que teve como alvo a Kaspersky.
A operação foi atribuída pelo governo russo à National Security Agency, alegação que nunca recebeu confirmação oficial dos Estados Unidos.
Posteriormente, o Coruna foi novamente identificado, desta vez em uma campanha com motivação financeira. O framework foi inserido em sites de criptomoedas e jogos de azar em língua chinesa, utilizando a técnica de watering hole para infectar visitantes e instalar malware voltado ao roubo de ativos digitais.
A amostra analisada pela iVerify foi apelidada de CryptoWaters. Segundo a empresa, o módulo responsável pelo roubo de criptomoedas e dados pessoais apresentava qualidade inferior ao framework original, sugerindo que o kit foi reutilizado e adaptado por atores menos sofisticados.
Indícios de possível origem americana
A iVerify identificou características que podem indicar que o Coruna tenha sido originalmente desenvolvido ou adquirido pelo governo dos Estados Unidos. Entre os indícios estão o uso predominante de inglês no código e a semelhança estrutural com frameworks previamente atribuídos a atores vinculados ao governo americano.
Rocky Cole, cofundador da iVerify e ex-funcionário da NSA, afirmou que este pode ser o primeiro exemplo documentado de ferramentas provavelmente desenvolvidas por entidades americanas que escaparam de controle e passaram a ser utilizadas por adversários e grupos criminosos.
Um precedente preocupante
O cenário remete ao caso do EternalBlue, exploit desenvolvido pela NSA que vazou após ação do grupo Shadow Brokers. A ferramenta foi posteriormente utilizada em ataques globais como o WannaCry e o NotPetya.
Na época, o vazamento transformou uma capacidade ofensiva estatal em arma amplamente acessível a cibercriminosos. O caso Coruna sugere que fenômeno semelhante pode estar ocorrendo no ecossistema móvel.
Como ocorre a infecção
A campanha mais recente utilizou ataques do tipo watering hole, comprometendo sites frequentados por usuários interessados em criptomoedas e conteúdo adulto. Parte da cadeia de exploração foi corrigida na versão 17.3 do iOS.
Segundo a iVerify, o malware não apresenta persistência total. Reiniciar o dispositivo tende a eliminar a infecção, embora o risco de reinfecção permaneça caso o usuário retorne aos sites comprometidos.
Impactos identificados
A versão criminosa do Coruna foi adaptada para:
-
Drenar carteiras de criptomoedas
-
Exfiltrar fotografias
-
Coletar e-mails
-
Capturar dados sensíveis armazenados no dispositivo
A pesquisa indica que praticamente todas as carteiras de criptomoedas estavam vulneráveis no contexto da exploração observada.
Mercado secundário de zero days
O caso evidencia a existência de um mercado ativo de exploits zero day, no qual corretores podem pagar dezenas de milhões de dólares por técnicas avançadas de exploração. Uma vez comercializadas, essas capacidades tendem a perder controle sobre o destino final.
Discussões internacionais sobre governança e uso responsável de spyware ganham relevância diante desse cenário, especialmente considerando a crescente pressão econômica sobre empresas do setor para ampliar a base de clientes.
Implicações estratégicas
O Coruna representa um ponto de inflexão na segurança móvel. Ferramentas de nível estatal estão migrando para o crime organizado, a exploração em massa de iOS deixa de ser evento raro e a assimetria entre ofensiva e defesa no ambiente mobile se amplia.
Para organizações, o episódio reforça a necessidade de tratar dispositivos móveis como ativos críticos de segurança, com monitoramento contínuo, atualização rápida e integração à estratégia de gestão de vulnerabilidades.
