Em 3 de março de 2026, o Google Threat Intelligence Group (GTIG) publicou um relatório técnico detalhando um dos exploit kits para iOS mais sofisticados já documentados publicamente. Batizado de Coruna também rastreado como CryptoWaters o kit reúne cinco cadeias completas de exploração e um total de 23 exploits individuais, cobrindo todas as versões do iOS entre a 13.0 e a 17.2.1. O vetor de ataque é perturbadoramente simples: basta que o usuário acesse uma URL especialmente construída pelo Safari. Nenhuma interação adicional é necessária.
A conexão com a Kaspersky é direta: dois dos componentes mais avançados do Coruna internamente chamados de Photon (CVE-2023-32434) e Gallium (CVE-2023-38606) são as mesmas vulnerabilidades usadas como zero-days na Operação Triangulation, a campanha de espionagem descoberta pela Kaspersky em 2023, que comprometeu dispositivos iOS de funcionários da própria empresa. O Coruna é, em partes, a reutilização e expansão industrial dessas mesmas técnicas, agora distribuídas entre múltiplos agentes de ameaça com objetivos completamente distintos.
O Que é um Exploit Kit e Por que o Coruna é Diferente
Um exploit kit é um framework modular projetado para automatizar a exploração de vulnerabilidades em endpoints. Em vez de um único exploit artesanal desenvolvido para um alvo específico, um kit oferece múltiplos vetores, selecionados dinamicamente com base nas características detectadas do dispositivo-alvo. O Coruna vai muito além dessa definição básica: ele possui um sistema de fingerprinting em JavaScript que identifica o modelo exato do iPhone e a versão precisa do iOS antes de sequer entregar um exploit. Com base nesses dados, o framework seleciona automaticamente o melhor caminho de exploração disponível para aquele dispositivo específico um nível de engenharia raramente observado fora de operações state-sponsored.
O GTIG descreve o kit como “extremamente bem engenheirado”, com todos os componentes interconectados por utilitários comuns e frameworks de exploração compartilhados. Os exploits mais avançados utilizam técnicas de exploração não públicas e bypasses de mitigações do sistema operacional. Os comentários internos no código estão escritos em inglês nativo, com docstrings estruturadas, sugerindo desenvolvimento por equipes profissionais altamente especializadas.
A Cadeia de Ataque: Do Safari ao Kernel
A cadeia de comprometimento do Coruna opera em quatro estágios sequenciais, cada um dependente do sucesso do anterior:
- Fingerprinting via JavaScript: ao acessar a URL maliciosa pelo Safari, um módulo JavaScript ofuscado coleta silenciosamente dados do dispositivo, versão do iOS, modelo do iPhone, presença do Lockdown Mode, tipo de navegação (normal ou privada). Caso o dispositivo esteja em Lockdown Mode ou em navegação privada, o kit aborta a execução imediatamente, sem entregar nenhum exploit.
- WebKit RCE (Remote Code Execution): com base no fingerprint coletado, o framework carrega o exploit de execução remota de código mais adequado para aquela versão do iOS, explorando uma vulnerabilidade no WebKit o motor de renderização do Safari. Os exploits são entregues sem criptografia nessa fase. A principal CVE documentada nesta etapa é a CVE-2024-23222, uma vulnerabilidade de confusão de tipo no WebKit que a Apple corrigiu discretamente em 22 de janeiro de 2024 no iOS 17.3, sem creditar pesquisadores externos.
- PAC Bypass + Sandbox Escape: após o RCE no processo do WebKit, o kit executa um bypass de Pointer Authentication Code (PAC), uma proteção de hardware da Apple projetada para impedir que ponteiros sejam adulterados em memória. Em seguida, um loader binário chamado IronLoader ou NeuronLoader (dependendo da versão do iOS) realiza o escape do sandbox do WebKit, saindo do processo isolado do browser em direção ao sistema.
- Privilege Escalation ao Kernel: o último estágio entrega exploits de elevação de privilégio (PE) e bypasses de PPL (Page Protection Layer) para obter acesso ao kernel do iOS. Nessa fase, os payloads binários são entregues cifrados com ChaCha20, empacotados em um formato proprietário com cabeçalho
0xf00dbeefe comprimidos com o algoritmo LZW, todos hospedados em URLs terminadas em.min.jspara parecerem arquivos JavaScript legítimos de bibliotecas.
Os 23 Exploits: Tabela Completa
A tabela a seguir apresenta o mapeamento completo dos 23 exploits identificados pelo GTIG, com seus codinomes internos, CVEs associados e tipo de exploit:
| Codinome Interno | CVE | Tipo |
|---|---|---|
| buffout | CVE-2021-30952 | WebContent R/W |
| jacurutu | CVE-2022-48503 | WebContent R/W |
| bluebird | Sem CVE público | WebContent R/W |
| terrorbird | CVE-2023-43000 | WebContent R/W |
| cassowary | CVE-2024-23222 | WebContent R/W |
| breezy | Sem CVE público | PAC Bypass |
| breezy15 | Sem CVE público | PAC Bypass |
| seedbell | Sem CVE público | PAC Bypass |
| seedbell_16_6 | Sem CVE público | PAC Bypass |
| seedbell_17 | Sem CVE público | PAC Bypass |
| IronLoader | CVE-2023-32409 | Sandbox Escape |
| NeuronLoader | Sem CVE público | Sandbox Escape |
| Neutron | CVE-2020-27932 | Privilege Escalation |
| Dynamo | CVE-2020-27950 | PE (Infoleak) |
| Pendulum | Sem CVE público | Privilege Escalation |
| Photon | CVE-2023-32434 | Privilege Escalation |
| Parallax | CVE-2023-41974 | Privilege Escalation |
| Gruber | Sem CVE público | Privilege Escalation |
| Quark | Sem CVE público | PPL Bypass |
| Gallium | CVE-2023-38606 | PPL Bypass |
| Carbone | Sem CVE público | PPL Bypass |
| Sparrow | CVE-2024-23225 | PPL Bypass |
| Rocket | CVE-2024-23296 | PPL Bypass |
O Payload Final: PlasmaLoader e o Roubo de Criptoativos
Ao final da cadeia de exploração, um stager chamado PlasmaLoader (rastreado pelo GTIG como PLASMAGRID) é injetado no processo powerd, um daemon que roda como root no iOS, usando com.apple.assistd como identificador para se disfarçar. O payload não exibe as capacidades típicas de um spyware comercial ele não monitora câmera, microfone ou mensagens. O objetivo é exclusivamente financeiro e altamente focado:
- Varredura de frases-semente (BIP39): o payload analisa blobs de texto em busca de sequências BIP39, as frases de recuperação de carteiras de criptomoedas, e palavras-chave específicas como “backup phrase” ou “bank account” em notas do Apple Memos.
- Decodificação de QR codes: o malware lê e decodifica QR codes presentes em imagens armazenadas no dispositivo, capturando endereços de carteiras ou códigos de autenticação.
- Hook em aplicativos de carteira: módulos adicionais baixados do C2 injetam hooks em 18 aplicativos identificados, incluindo MetaMask, Phantom, Trust Wallet, Exodus, Coinbase Wallet (Toshi), Uniswap, Solflare e TONKeeper, exfiltrando credenciais e sessões ativas.
- Exfiltração criptografada: os dados coletados são enviados ao C2 via HTTPS com payload cifrado em AES, usando o hash SHA-256 de uma string estática como chave.
- Domain Generation Algorithm (DGA): caso os servidores C2 fixos não respondam, o implant usa um algoritmo de geração de domínios com a string “lazarus” como semente para gerar domínios .xyz de 15 caracteres, validados via DNS público do Google.
“O payload pode decodificar QR codes de imagens no disco. Ele também possui um módulo para analisar blobs de texto em busca de sequências de palavras BIP39 ou palavras-chave muito específicas como ‘backup phrase’ ou ‘bank account’. Se esse texto for encontrado no Apple Memos, ele será enviado de volta ao C2.” Google Threat Intelligence Group, março de 2026.
Como o Kit se Proliferou: De Espionagem a Golpe em Escala
A trajetória do Coruna é um retrato preciso do mercado secundário de zero-days. O GTIG rastreou o kit passando por pelo menos três contextos de uso completamente distintos ao longo de 2025:
- Fevereiro de 2025 Vigilância comercial direcionada: o GTIG capturou partes da cadeia de exploração sendo usadas por um cliente de uma empresa de vigilância comercial (surveillance vendor). O framework JavaScript ainda era desconhecido e usava técnicas de ofuscação únicas.
- Verão de 2025 Espionagem state-sponsored contra a Ucrânia (UNC6353): o mesmo framework foi identificado hospedado em
cdn.uacounter[.]com, carregado como um iFrame oculto em dezenas de sites ucranianos legítimos comprometidos de ferramentas industriais a e-commerces locais em ataques do tipo watering hole. O kit era entregue exclusivamente a usuários de iPhone localizados em determinadas regiões geográficas, sugerindo seletividade de alvo típica de operações de inteligência. O GTIG notificou o CERT-UA para mitigação. - Final de 2025 Golpe financeiro em larga escala (UNC6691): o kit foi identificado em um conjunto muito grande de sites falsos chineses, majoritariamente relacionados a finanças e criptomoedas incluindo réplicas da exchange WEEX. Diferentemente dos ataques anteriores, não havia restrição geográfica: qualquer iPhone acessando os sites recebia o exploit kit via iFrame oculto. Foi nessa fase que o GTIG obteve o kit completo, incluindo uma versão de debug que expunha os codinomes internos dos exploits revelando o nome “Coruna”.
O GTIG avalia que esse padrão de proliferação de um único cliente de surveillance vendor para múltiplos agentes de ameaça com objetivos distintos sugere um mercado ativo de exploits “de segunda mão”, onde ferramentas desenvolvidas originalmente para espionagem direcionada são adquiridas e reutilizadas por atores com motivação financeira, que as adaptam para vulnerabilidades recém-identificadas.
Dispositivos Afetados e Status de Correção
O Coruna é ineficaz contra a versão mais recente do iOS. Para dispositivos que suportam atualizações recentes, a Apple já havia corrigido a maioria das CVEs exploradas pelo kit ao longo de 2023 e 2024 a principal delas, a CVE-2024-23222, foi remediada no iOS 17.3 em janeiro de 2024. O problema crítico são os dispositivos que não conseguem mais ser atualizados para versões modernas do iOS:
- iPhone 7 e 7 Plus: suportam até iOS 15.8.x versão coberta por múltiplas cadeias do Coruna.
- iPhone 6s e SE (1ª geração): suportam até iOS 15.8.x igualmente vulneráveis.
- iPhone 8, 8 Plus e iPhone X: suportam até iOS 16.7.x cobertos por cadeias do Coruna (iOS 16 é alvo ativo do kit).
Em 11 de março de 2026, a Apple lançou atualizações de segurança retroativas (backports) para dispositivos mais antigos iOS 16.7.15 e iPadOS 16.7.15 remediando a CVE-2023-43010, uma vulnerabilidade de corrupção de memória no WebKit explorada pelo Coruna. A Apple declarou explicitamente que o patch estava associado ao exploit kit Coruna. Esses backports são raros e demonstram a gravidade da ameaça, mas dispositivos presos em iOS 15 ou anterior ainda carecem de cobertura completa para todas as cadeias do kit.
O que Fazer: Recomendações Práticas
- Atualize imediatamente: se o seu dispositivo suporta iOS 17.3 ou superior, atualize agora. O Coruna é ineficaz contra versões atuais do iOS.
- Se você usa iOS 16 em um iPhone 8/X: instale o iOS 16.7.15, lançado em 11 de março de 2026, que inclui o backport de correções relacionadas ao Coruna.
- Ative o Lockdown Mode: disponível a partir do iOS 16, o Lockdown Mode é verificado pelo próprio Coruna como condição de abortar a exploração. É uma proteção efetiva documentada pelo GTIG. Para usuários de alto risco, essa deve ser a primeira ação.
- Use navegação privada ao acessar sites desconhecidos: o kit também aborta a execução em modo de navegação privada do Safari.
- Desconfie de sites financeiros e de cripto recebidos via link: a campanha de escala do UNC6691 usou sites falsos de exchanges de criptomoedas como vetor. Acesse exchanges e serviços financeiros sempre pelos aplicativos oficiais ou por favoritos previamente salvos.
- Considere aposentar iPhones anteriores ao iPhone 8: dispositivos que não recebem mais atualizações de segurança significativas são, na prática, endpoints sem defesa contra kits como o Coruna.
- Não armazene frases-semente ou senhas de carteiras em aplicativos de notas: o PlasmaLoader varre explicitamente o Apple Memos em busca de frases BIP39. Utilize gerenciadores de senha com criptografia forte para esse tipo de dado.
“In instances where an update is not possible, it is recommended that Lockdown Mode be enabled for enhanced security.” Google Threat Intelligence Group, 3 de março de 2026.
O Coruna é um lembrete técnico e objetivo de que o argumento “iPhone é seguro” nunca foi absoluto e que suporte contínuo de atualizações não é um diferencial de marketing, é infraestrutura de segurança. Exploits de nível state-sponsored não ficam exclusivamente com estados: eles proliferam, são revendidos e terminam em campanhas de golpe financeiro em larga escala. O gap entre o lançamento de um exploit e sua disponibilidade para múltiplos agentes de ameaça está encolhendo sistematicamente. A superfície de ataque de um iPhone desatualizado em 2026 não é hipotética ela está documentada, com 23 exploits catalogados, CVEs nomeados e payloads em produção.
Análise baseada no relatório técnico do Google Threat Intelligence Group (GTIG), publicado em 3 de março de 2026, e nas análises complementares de Security Affairs, The Hacker News, Malwarebytes e iVerify. Pesquisa e adaptação: N00TROPX1C — NULLTROPIC, 2026.
Deixe um comentário