Coruna: kit de hacking para iPhone explora 23 vulnerabilidades no iOS

Pesquisadores de segurança do Google divulgaram um relatório que descreve um kit de ferramentas de hacking para iPhone , chamado Coruna, que inclui cinco técnicas capazes de contornar todas as defesas de celulares da Apple.

No total, o Coruna aproveita 23 vulnerabilidades distintas no iOS , uma coleção rara de componentes de hacking que sugere que ele foi criado por um grupo de hackers com muitos recursos – provavelmente patrocinado por um país.

De ferramenta de espionagem a arma do crime

De acordo com a pesquisa da big tech, as técnicas ligadas ao Coruna foram identificadas em fevereiro de 2025 e atribuídas a um cliente de uma empresa de vigilância não identificada.

No entanto, meses depois, uma versão mais completa do kit foi descoberta. Ela foi relacionada a um grupo de espionagem russo, que escondeu o código de hacking em um componente comum de contagem de visitantes de sites ucranianos.

Em outro momento, o Google detectou o Coruna em uso mais uma vez no que parece ter sido uma campanha de hacking puramente focada no lucro , infectando sites de criptomoedas e jogos de azar em chinês para entregar um malware que rouba criptomoedas das vítimas.

As pistas que apontam para os Estados Unidos

A empresa de segurança móvel iVerify, que também analisou uma versão do Coruna obtida em um dos sites chineses infectados, sugere que o código pode, na verdade, ter começado como um kit de hacking criado ou adquirido pelo governo dos Estados Unidos.

O Google e a iVerify observam que o Coruna contém vários componentes já vistos anteriormente na chamada "Operação Triangulação", uma campanha de espionagem descoberta em 2023 que teve como alvo a empresa russa de cibersegurança Kaspersky.

O governo russo atribuiu a operação à NSA americana, alegação que o governo dos Estados Unidos nunca respondeu.

Outro indício que aponta para uma origem americana é o fato de o código do Coruna aparentar ter sido escrito originalmente por programadores de língua inglesa.

Ao Wired , Rocky Cole, cofundador da iVerify e ex-funcionário da NSA, afirma que o kit é altamente sofisticado, custou milhões de dólares para ser desenvolvido e carrega as marcas registradas de outros módulos publicamente atribuídos ao governo dos EUA.

Para Cole, este seria o primeiro exemplo documentado de ferramentas muito provavelmente americanas saindo do controle e sendo usadas tanto por adversários quanto por grupos de cibercriminosos.

Um kit profissional nas mãos erradas

Independentemente de quem criou o Coruna, o Google alerta que um kit de ferramentas tão valioso e raro parece ter passado por uma série de mãos improváveis e agora existe em estado selvagem, onde ainda pode ser adotado ou adaptado por qualquer grupo de hackers interessado em atacar usuários de iPhone.

No relatório, a empresa afirma que não está claro como essa proliferação ocorreu, mas que ela sugere a existência de um mercado ativo para exploits zero-day de segunda mão, e que vários agentes de ameaças já adquiriram técnicas avançadas de exploração que podem ser reutilizadas e modificadas com novas vulnerabilidades.

Roubo de criptomoedas, fotos e até e-mails

Na análise da versão obtida em um dos sites chineses infectados, a iVerify identificou que o código havia sido alterado para instalar malware capaz de drenar criptomoedas de carteiras digitais, roubar fotos e, em alguns casos, e-mails.

Essas adições, porém, eram visivelmente mais rudimentares do que o kit original. Spencer Parker, diretor de produtos da iVerify, descreveu o Coruna subjacente como impressionantemente refinado e modular, e concluiu que o malware mais grosseiro foi acrescentado pelos cibercriminosos que posteriormente obtiveram o código.

Sobre a possibilidade de o Coruna ter sido montado a partir de fragmentos da Operação Triangulação recolhidos após sua descoberta, Cole considera o cenário improvável. Muitos componentes do kit nunca foram vistos antes, e toda a estrutura parece ter sido criada por um único autor, como se tivesse sido escrita como um todo, e não remendada a partir de pedaços.

Quanto a como o kit teria chegado às mãos de criminosos e estrangeiros, Cole aponta para a indústria de corretores de zero-day, que podem pagar dezenas de milhões de dólares por técnicas de hacking para revendê-las a governos, grupos de espionagem ou cibercriminosos.