O Google Threat Intelligence Group trouxe à luz um conjunto de ferramentas de exploração para iPhone que, por sua complexidade e alcance, merece atenção imediata: foi dado o nome de Coruna (também identificado como CryptoWaters). Trata-se de um kit de exploração modular e muito sofisticado que aglutina várias cadeias de ataque completas para diferentes versões do iOS e que, segundo a análise do Google, tem circulado entre diferentes atores ao longo de 2025. Você pode ler o relatório técnico do Google em seu blog de inteligência de ameaças aqui e a cobertura de imprensa inicial WIRED.
O que faz perigoso a Coruna não é apenas a qualidade dos exploits que inclui, mas a forma como se juntam. Google descreve um framework JavaScript que primeiro impressão do dispositivo(fingerprinting) para identificar modelo e versão do iOS, e em função desses dados carrega o exploit WebKit adequado. Depois encadeia um bypass das mitigações de segurança — como a evasão da proteção PAC (Pointer Authentication Codes)— e executa o payload. É uma cadeia completa: reconhecimento, execução remota de código e escalada de controle no dispositivo.
Na análise foram detectadas cinco cadeias de exploração completas e no total 23 exploits orientados para versões do iOS que vão desde a 13 até a 17.2.1. Entre as vulnerabilidades utilizadas aparecem falhas relatadas no NVD como CVE-2024-23222, CVE-2023-43000 e outras mais antigas que cobrem um amplo intervalo de adesivos. O Google também indica que alguns módulos reutilizam técnicas observadas em campanhas anteriores, sugerindo a existência de componentes “plug-and-play” dentro do kit.
A telemetria reconstrue uma história interessante sobre como este conjunto se moveu entre mãos. De acordo com os pesquisadores, partes do exploit apareceram pela primeira vez nas mãos de um cliente de uma empresa de vigilância comercial no início de 2024, depois se observou seu uso por um ator estatal e, finalmente, por um grupo com motivação econômica desde a China no final de 2025. Esse trânsito ilustra a existência de um mercado ativo de exploits de dia zero e como ferramentas inicialmente concebidas para vigilância dirigida podem acabar sendo empregadas em campanhas massivas.
Os usos concretos na rua variaram. Em julho de 2025, o framework carregado foi detectado como um iframe oculto do domínio “cdn.uacounter[.]com” em sites comprometidos na Ucrânia, dirigido apenas a usuários de iPhone de determinadas localizações; a atividade foi atribuída a um ator suspeito chamado UNC6353. Em dezembro de 2025 a mesma tecnologia reapareceu numa rede de sites falsos de corte financeiro na China, desta vez sem restrições geográficas e associada a um ator rastreado como UNC6691. O provedor de segurança móvel iVerify adverte que Coruna representa um dos primeiros casos em que capacidades de spyware de qualidade “de estado” passam a uma implantação mais ampla e comercializada; seu relatório está disponível aqui.
Quando o exploit consegue a entrada, os operadores não ficam no dispositivo comprometido: observou-se a entrega de um carregador (stager) chamado PlasmaLoader ou PLASMAGRID, desenhado para descodificar códigos QR contidos em imagens e baixar módulos adicionais a partir de servidores externos. Esses módulos podem estar orientados para exfiltrar informações de aplicativos de criptoativos como Base, Bitget Wallet, Exodus ou MetaMask, o que converte o vetor em um risco direto para usuários com carteiras no celular.
Os operadores adicionaram mecanismos de resiliência: o implant contém servidores de comando e controle codificados e um algoritmo gerador de domínios (DGA) que, segundo o Google, utiliza a cadeia “lazarus” como semente para gerar domínios previsíveis com TLD .xyz; também empregam resoluções com o DNS público do Google para verificar se esses domínios estão ativos. Na infraestrutura dos atacantes também foi encontrada uma versão de depuração do kit, o que ajudou os pesquisadores a mapear cinco cadeias de exploração completas e as 23 vulnerabilidades aproveitadas.
Um detalhe técnico relevante é que Coruna evita executar se o dispositivo estiver em Modo de bloqueio(Lockdown Mode) ou se o utilizador navegar em modo privado. A Apple fornece informações sobre esse modo, que limita radicalmente a superfície de ataque para ameaças dirigidas: Como funciona o Modo de Bloqueio. Além disso, a Apple sistemaizou muitas das vulnerabilidades exploradas em atualizações recentes; consultar a página oficial de atualizações de segurança da Apple é uma boa prática: Apple Security Updates.
O que isso significa para um usuário médio? Primeiro, que nem todos os iPhones eram vulneráveis: Coruna explorava falhas que afetam versões concretas do iOS e, segundo o Google, não é eficaz contra as versões mais recentes que já incluem os adesivos necessários. No entanto, muitos dispositivos não se mantêm por dia e continuam a ser alvos fáceis. Segundo, a forma de entrega: sites legítimos comprometidos ou páginas falsas que pedem expressamente que as visitem “desde o seu iPhone para uma melhor experiência” são senhinhos claros; se uma web insiste que a abras em um celular, há que desconfiar. Terceiro, se você usa carteiras de criptomoedas no dispositivo, você deve extremar as precauções com links, QR e titulares que ofereçam downloads ou melhorias de experiência.
A recomendação prática e urgente é evidente: atualiza seu iPhone à última versão do iOS que a Apple publica, e se você quiser uma camada extra de proteção ativa o Modo de bloqueio. Manter as atualizações automáticas, evitar abrir links suspeitos de SMS ou redes sociais e não usar redes Wi-Fi abertas para transações sensíveis reduz significativamente o risco. Para administradores e profissionais de segurança, o achado sublinha a necessidade de monitorar tráfego incomum, revisar iframes e fontes de terceiros em páginas web e considerar controles adicionais de detecção de exploração do WebKit.
Além do guia técnico, Coruna representa uma mudança de época: pela primeira vez, segundo diversos analistas, documenta-se um uso em escala de um toolkit de exploração para iOS que originalmente tinha aparência “spyware-grade”. Esse trânsito desde ferramentas comerciais para atores estatais e, finalmente, criminosos para fins lucrativos mostra como a disponibilidade de vulnerabilidades valiosas acelera a contaminação do ecossistema. Se você quer aprofundar os detalhes técnicos e a cronologia, os relatórios do Google e as coberturas especializadas são fontes recomendadas: Relatório do GTIG, a peça de WIRED e análise iVerify.
No final, a lição volta a ser a de sempre, mas com mais urgência: o software desatualizado é uma porta aberta. Mantenha o seu dispositivo atualizado, ativa as proteções adicionais como o Modo de bloqueio e desconfia de sites ou mensagens que peçam ações concretas no seu iPhone, especialmente se implicam abrir links, baixar conteúdo ou digitalizar códigos QR. Este caso —Coruna — é um lembrete de que as ferramentas de vigilância e exploração podem acabar convertidas em armas de amplo alcance.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
Extensões maliciosas do VS Code: o ataque que expôs 3.800 repositórios internos
O GitHub confirmou que um dispositivo de um funcionário comprometido através de uma extensão maliciosa do Visual Studio Code permitiu a ex-filtração de centenas ou milhares de r...