O Threat Intelligence Group do Google publicou uma pesquisa detalhando um sofisticado framework de exploração de iOS chamado Coruna – contendo 23 vulnerabilidades em cinco cadeias completas de exploração – que foi usado por suspeitos operadores de espionagem russos e golpistas chineses de criptomoedas ao longo de 2025.
A empresa de segurança móvel iVerify separadamente concluiu que a base de código apresenta características de ferramentas desenvolvidas pelo governo dos EUA, chamando-o de o primeiro caso conhecido de capacidades de iOS de provável origem estatal sendo reaproveitadas para uso criminoso em massa.
Todas as vulnerabilidades exploradas pelo Coruna foram corrigidas nas versões atuais do iOS. Dispositivos rodando iOS 17.2.1 e anteriores, lançados até dezembro de 2023, permanecem na faixa afetada.
O que aconteceu
O Google acompanhou o Coruna por meio de três operadores distintos ao longo de 2025. Ele apareceu pela primeira vez em fevereiro em uma cadeia de exploração usada por um cliente de um fornecedor comercial de vigilância não identificado.
No verão, o mesmo framework em JavaScript apareceu como iframes ocultos em sites ucranianos comprometidos, visando seletivamente usuários de iPhone por geolocalização – atribuído ao UNC6353, um suspeito grupo de espionagem russo. No fim de 2025, o kit completo havia sido implantado em centenas de falsos sites em chinês de criptomoedas e apostas, comprometendo cerca de 42.000 dispositivos em uma única campanha.
O kit opera como um ataque drive‑by: nenhum clique é necessário. Quando o alvo visita um site comprometido, é acionado silenciosamente um JavaScript que faz a identificação detalhada do dispositivo e entrega uma cadeia de exploração sob medida. A carga útil adaptada para o crime procura por frases‑semente BIP39, coleta dados do MetaMask e do Trust Wallet e exfiltra credenciais para servidores de comando e controle.
Por que isso importa
O cofundador da iVerify, Rocky Cole – ex-analista da NSA – disse que a base de código do Coruna é “excelente” e compartilha impressões de engenharia com módulos anteriormente vinculados publicamente a programas do governo dos EUA, incluindo componentes da Operation Triangulation, uma campanha de iOS de 2023 que a Rússia atribuiu oficialmente à NSA. Washington nunca comentou essa acusação.
Cole descreveu a situação como um possível “momento EternalBlue” – em referência ao exploit de Windows desenvolvido pela NSA e roubado em 2017, que depois possibilitou os ataques WannaCry e NotPetya.
O Google observou a existência de um ativo “mercado de segunda mão” para frameworks de exploração de dia zero, com o rastro do Coruna reforçando como ferramentas de nível estatal migram por intermediários para infraestrutura criminosa sem um ponto claro de transferência.
A NSA não respondeu aos pedidos de comentário. A Apple lançou correções cobrindo todas as vulnerabilidades conhecidas do Coruna.
Read next: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act