O Grupo de Inteligência de Ameaças do Google publicou uma pesquisa detalhando um sofisticado framework de exploração para iOS chamado Coruna – contendo 23 vulnerabilidades distribuídas em cinco cadeias completas de exploração – que foi usado por suspeitos operadores de espionagem russos e golpistas chineses de criptomoedas ao longo de 2025.
A empresa de segurança mobile iVerify, em análise separada, concluiu que a base de código apresenta características típicas de ferramentas desenvolvidas pelo governo dos EUA, classificando-o como o primeiro caso conhecido de capacidades de iOS provavelmente estatais sendo reutilizadas em escala para fins criminosos.
Todas as vulnerabilidades exploradas por Coruna já foram corrigidas nas versões atuais do iOS. Dispositivos rodando iOS 17.2.1 e anteriores, lançados até dezembro de 2023, continuam dentro da faixa afetada.
O que aconteceu
O Google acompanhou Coruna por meio de três operadores distintos ao longo de 2025. Ele apareceu pela primeira vez em fevereiro, em uma cadeia de exploração utilizada por um cliente de um fornecedor comercial de vigilância não identificado.
No verão, o mesmo framework em JavaScript surgiu como iframes ocultos em sites ucranianos comprometidos, direcionando seletivamente usuários de iPhone por geolocalização – atribuído ao UNC6353, um suspeito grupo de espionagem russo. No fim de 2025, o kit completo já havia sido implantado em centenas de falsos sites em chinês de criptomoedas e apostas, comprometendo cerca de 42.000 dispositivos em uma única campanha.
O kit opera como um ataque drive‑by: nenhum clique é necessário. A simples visita da vítima a um site comprometido aciona um JavaScript silencioso que faz o fingerprinting do dispositivo e entrega uma cadeia de exploração sob medida. A carga útil adaptada ao crime escaneia por frases-semente BIP39, coleta dados de MetaMask e Trust Wallet e exfiltra credenciais para servidores de comando e controle.
Leia também: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Por que isso importa
O cofundador da iVerify, Rocky Cole – ex-analista da NSA – afirmou que o código de Coruna é “excelente” e compartilha impressões digitais de engenharia com módulos anteriormente ligados publicamente a programas do governo dos EUA, incluindo componentes da Operation Triangulation, uma campanha de iOS de 2023 que a Rússia atribuiu oficialmente à NSA. Washington nunca comentou essa acusação.
Cole descreveu a situação como um potencial “momento EternalBlue” – referência ao exploit de Windows desenvolvido pela NSA e roubado em 2017, que depois possibilitou os ataques WannaCry e NotPetya.
O Google observou um ativo “mercado de segunda mão” para frameworks de exploração de dia zero, com o rastro de Coruna reforçando como ferramentas de nível estatal migram por intermediários até a infraestrutura criminosa sem um ponto claro de transição.
A NSA não respondeu a pedidos de comentário. A Apple lançou correções cobrindo todas as vulnerabilidades conhecidas do Coruna.
Leia a seguir: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act