O Google identificou um novo e poderoso exploit kit chamado Coruna (também conhecido como CryptoWaters), que tem como alvo modelos de iPhone rodando versões do iOS entre 13.0 e 17.2.1.
Segundo o Google Threat Intelligence Group (GTIG), o kit inclui cinco cadeias completas de exploits para iOS, totalizando 23 vulnerabilidades exploradas.
Importante destacar que ele não funciona nas versões mais recentes do iOS.
O diferencial técnico do Coruna está na sua coleção abrangente de exploits para iOS, alguns utilizando técnicas não públicas e métodos para contornar mecanismos de mitigação, explica o GTIG.
A arquitetura do kit é sofisticada, com seus componentes interligados por frameworks comuns de utilitários e exploração, facilitando a integração dos exploits.
Relatórios indicam que o kit circula entre diversos atores maliciosos desde fevereiro de 2025, passando de um operador comercial de vigilância a um grupo patrocinado por governo e, posteriormente, a um ator financeiro baseado na China, até dezembro do mesmo ano.
Embora se desconheça como ocorreu essa transferência, a movimentação reforça a existência de um mercado ativo para exploits zero-day de segunda mão, usados por diferentes agentes para variados fins.
Em relatório relacionado, a empresa iVerify apontou semelhanças entre o Coruna e frameworks anteriores desenvolvidos por grupos ligados ao governo dos Estados Unidos.
Para a empresa de segurança móvel, este é o primeiro caso observado de exploração em massa de dispositivos iOS usando um framework sofisticado, indicando uma mudança dos ataques de spyware de ações altamente direcionadas para uma disseminação em larga escala.
O Google revelou ter capturado, no início do ano passado, partes de uma cadeia de exploits para iOS usada por um cliente de uma empresa de vigilância anônima.
Esses exploits estavam integrados a um framework JavaScript até então desconhecido, que identifica e coleta dados do dispositivo, como modelo do iPhone e versão do iOS, para determinar se ele é legítimo.
Com base nessa identificação, o framework carrega o exploit de execução remota de código (RCE) apropriado para o WebKit, seguido por uma técnica para burlar o Pointer Authentication Code (PAC).
O exploit mais recente está relacionado à
CVE-2024-23222
, vulnerabilidade de type confusion no WebKit, corrigida pela Apple em janeiro de 2024 nas versões iOS 17.3 e iPadOS 17.3, além das atualizações 16.7.5 para iOS e iPadOS.
Em julho de 2025, o mesmo framework foi detectado sendo carregado dentro de um iFrame oculto no domínio "cdn.uacounter[.]com", presente em sites ucranianos comprometidos, incluindo páginas de equipamentos industriais, ferramentas de varejo, serviços locais e comércio eletrônico.
Acredita-se que o grupo de espionagem russo UNC6353 esteja por trás dessa campanha.
Um ponto relevante é que o framework só era entregue a usuários de iPhone em determinadas localizações geográficas, utilizando os exploits
CVE-2024-23222
,
CVE-2022-48503
e
CVE-2023-43000
— esta última uma falha de use-after-free no WebKit.
Importante lembrar que a
CVE-2023-43000
foi corrigida pela Apple em julho de 2023, na versão iOS 16.6, mas teve suas notas de segurança atualizadas apenas em novembro de 2025.
Em dezembro de 2025, o framework foi novamente detectado em um conjunto de sites falsos chineses, em sua maioria relacionados ao setor financeiro.
Esses sites incentivavam o acesso via iPhone ou iPad para uma "melhor experiência", momento em que injetavam o exploit kit Coruna, sem restrição geográfica.
Essa atividade foi associada ao cluster de ameaças UNC6691.
Análises posteriores da infraestrutura ligada a esse ator revelaram uma versão de debug do kit, assim como amostras de cinco cadeias completas de exploits para iOS.
Ao todo, 23 vulnerabilidades foram exploradas, abrangendo da versão 13 até a 17.2.1 do iOS.
Entre as CVEs exploradas pelo kit, destacam-se:
- Neutron -
CVE-2020-27932
(iOS 13.x)
- Dynamo -
CVE-2020-27950
(iOS 13.x)
- Buffout -
CVE-2021-30952
(iOS 13 a 15.1.1)
- Jacurutu -
CVE-2022-48503
(iOS 15.2 a 15.5)
- IronLoader -
CVE-2023-32409
(iOS 16.0 a 16.3.116.4.0)
- Photon -
CVE-2023-32434
(iOS 14.5 a 15.7.6)
- Gallium -
CVE-2023-38606
(iOS 14.x)
- Parallax -
CVE-2023-41974
(iOS 16.4 a 16.7)
- Terrorbird -
CVE-2023-43000
(iOS 16.2 a 16.5.1)
- Cassowary -
CVE-2024-23222
(iOS 16.6 a 17.2.1)
- Sparrow -
CVE-2024-23225
(iOS 17.0 a 17.3)
- Rocket -
CVE-2024-23296
(iOS 17.1 a 17.4)
O Google ressaltou que Photon e Gallium exploram vulnerabilidades já usadas como zero-days na operação Triangulation e que o Coruna possui módulos reutilizáveis para facilitar esses ataques.
Em dezembro de 2023, o governo russo alegou que a campanha seria obra da Agência de Segurança Nacional dos EUA (NSA), acusando-a de invadir "vários milhares" de dispositivos Apple de assinantes locais e diplomatas estrangeiros em uma "operação de reconhecimento".
O grupo UNC6691 tem utilizado o exploit para entregar um loader chamado PlasmaLoader (ou PLASMAGRID), capaz de decodificar QR codes e executar módulos adicionais para extrair carteiras de criptomoedas e dados sensíveis de apps populares, como Base, Bitget Wallet, Exodus e MetaMask.
O implant contém uma lista fixa de servidores de comando e controle (C2), mas possui mecanismo de fallback para gerar domínios com algoritmo DGA usando a palavra "lazarus" como semente, criando domínios previsíveis de 15 caracteres, com extensão .xyz.
Os atacantes validam esses domínios pelo resolvedor público do Google DNS.
Um aspecto importante do Coruna é que ele evita execução em dispositivos com Lockdown Mode ativado ou no modo de navegação privada, aumentando a proteção contra o ataque.
Para se proteger, usuários de iPhone devem manter seus sistemas atualizados e ativar o Lockdown Mode, que oferece uma camada extra de segurança contra ameaças avançadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...