O Threat Intelligence Group do Google publicou uma pesquisa detalhando um framework sofisticado de exploração de iOS chamado Coruna – contendo 23 vulnerabilidades distribuídas em cinco cadeias completas de exploração – que foi usado por suspeitos operadores de espionagem russos e golpistas chineses de criptomoedas ao longo de 2025.
A empresa de segurança mobile iVerify, em separado, concluiu que a base de código apresenta características de ferramentas desenvolvidas pelo governo dos EUA, chamando-o de o primeiro caso conhecido de capacidades de iOS de um provável Estado-nação sendo reaproveitadas em escala para uso criminoso em massa.
Todas as vulnerabilidades exploradas pelo Coruna foram corrigidas nas versões atuais do iOS. Dispositivos rodando iOS 17.2.1 e anteriores, lançados até dezembro de 2023, continuam sendo o intervalo afetado.
O que aconteceu
O Google acompanhou o Coruna por meio de três operadores distintos ao longo de 2025. Ele apareceu pela primeira vez em fevereiro, em uma cadeia de exploração usada por um cliente de um fornecedor comercial de vigilância não identificado.
No verão, o mesmo framework em JavaScript apareceu como iframes ocultos em sites ucranianos comprometidos, segmentando seletivamente usuários de iPhone por geolocalização – atribuído ao UNC6353, um grupo de espionagem russo suspeito. No fim de 2025, o kit completo havia sido implantado em centenas de sites falsos em chinês de criptomoedas e jogos de azar, comprometendo cerca de 42.000 dispositivos em uma única campanha.
O kit opera como um ataque drive‑by: não é necessário clique. A visita de um alvo a um site comprometido aciona silenciosamente JavaScript que faz o fingerprint do dispositivo e entrega uma cadeia de exploração sob medida. O payload adaptado para o crime procura por frases‑semente BIP39, coleta dados de MetaMask e Trust Wallet e exfiltra credenciais para servidores de comando e controle.
Por que isso importa
O cofundador da iVerify, Rocky Cole – ex-analista da NSA – afirmou que a base de código do Coruna é “impecável” e compartilha impressões digitais de engenharia com módulos anteriormente vinculados publicamente a programas do governo dos EUA, incluindo componentes da Operation Triangulation, uma campanha de iOS de 2023 que a Rússia atribuiu oficialmente à NSA. Washington nunca comentou essa acusação.
Cole descreveu a situação como um possível “momento EternalBlue” – em referência ao exploit de Windows desenvolvido pela NSA e roubado em 2017, que depois possibilitou os ataques WannaCry e NotPetya.
O Google observou um “mercado de segunda mão” ativo para frameworks de exploração de dia zero, com o rastro do Coruna reforçando como ferramentas de nível estatal migram por meio de corretores para infraestrutura criminosa sem um ponto claro de transição.
A NSA não respondeu a pedidos de comentário. A Apple lançou correções cobrindo todas as vulnerabilidades conhecidas do Coruna.
Read next: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act