O Threat Intelligence Group do Google publicou uma pesquisa detalhando um sofisticado framework de exploração para iOS chamado Coruna – contendo 23 vulnerabilidades em cinco cadeias completas de exploração – que foi usado por suspeitos operadores de espionagem russos e golpistas chineses de criptomoedas ao longo de 2025.
A empresa de segurança móvel iVerify, em análise separada, concluiu que a base de código apresenta características de ferramentas desenvolvidas pelo governo dos EUA, chamando-o de o primeiro caso conhecido de capacidades de iOS de um provável Estado-nação sendo reaproveitadas para uso criminoso em massa.
Todas as vulnerabilidades exploradas por Coruna foram corrigidas nas versões atuais do iOS. Dispositivos rodando iOS 17.2.1 e anteriores, lançados até dezembro de 2023, permanecem dentro da faixa afetada.
O que aconteceu
O Google acompanhou o Coruna por meio de três operadores distintos ao longo de 2025. Ele apareceu pela primeira vez em fevereiro em uma cadeia de exploração usada por um cliente de um fornecedor comercial de vigilância não identificado.
No verão, o mesmo framework de JavaScript apareceu como iframes ocultos em sites ucranianos comprometidos, visando seletivamente usuários de iPhone por geolocalização – atribuído ao UNC6353, um suposto grupo de espionagem russo. No final de 2025, o kit completo havia sido implantado em centenas de sites falsos em chinês de criptomoedas e apostas, comprometendo cerca de 42.000 dispositivos em uma única campanha.
O kit opera como um ataque drive‑by: nenhum clique é necessário. Quando o alvo visita um site comprometido, isso aciona silenciosamente o JavaScript que identifica o dispositivo e entrega uma cadeia de exploração sob medida. A carga útil adaptada para o crime procura por frases-semente BIP39, coleta dados de MetaMask e Trust Wallet e exfiltra credenciais para servidores de comando e controle.
Leia também: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Por que isso importa
O cofundador da iVerify, Rocky Cole – ex-analista da NSA – disse que a base de código do Coruna é “superbamente” desenvolvida e compartilha impressões de engenharia com módulos anteriormente ligados publicamente a programas do governo dos EUA, incluindo componentes da Operation Triangulation, uma campanha de iOS de 2023 que a Rússia atribuiu oficialmente à NSA. Washington nunca comentou essa acusação.
Cole descreveu a situação como um potencial “momento EternalBlue” – em referência ao exploit de Windows desenvolvido pela NSA, roubado em 2017, que depois possibilitou os ataques WannaCry e NotPetya.
O Google observou um ativo “mercado de segunda mão” para frameworks de exploits de dia zero, sendo que o rastro do Coruna reforça como ferramentas em nível de Estado migram por intermediários para infraestrutura criminosa sem um ponto claro de repasse.
A NSA não respondeu aos pedidos de comentário. A Apple lançou patches cobrindo todas as vulnerabilidades conhecidas do Coruna.
Leia a seguir: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act