O Grupo de Inteligência de Ameaças do Google (GTIG) tem um novo relatório sobre um poderoso kit de exploração do iOS chamado “Coruna”, que viajou de um cliente de um fornecedor de vigilância para um grupo de espionagem russo e para cibercriminosos chineses, revelando uma sofisticada “cadeia de suprimentos” de exploração no processo.
Descrito como um dos kits de ferramentas de exploração do iOS mais abrangentes documentados publicamente, o Coruna tem como alvo iPhones que executam o iOS 13.0 até o iOS 17.2.1, contendo 23 explorações em quatro anos de versões do iOS.
Segundo o GTIG, ele foi detectado pela primeira vez em fevereiro de 2025, quando foi utilizado por um cliente de um fornecedor de vigilância comercial. No verão de 2025, a mesma estrutura apareceu em ataques watering hole (onde um invasor compromete sites que seus alvos pretendidos provavelmente visitariam) por um suposto grupo de espionagem russo visando usuários ucranianos.
Então, no final de 2025, um ator com motivação financeira baseado na China o implantou em uma grande rede de sites financeiros e criptográficos falsos. GTIG disse que não está claro como o kit de exploração foi passado de ator para ator, mas sugere um mercado ativo para explorações de dia zero “de segunda mão”.
Quanto ao conteúdo do kit, ele é descrito como extremamente bem projetado. Quando alguém visita um site infectado, ele descobre que tipo de iPhone está usando e qual versão de software está executando e, em seguida, escolhe o ataque certo para esse dispositivo específico. Se o usuário tiver o Modo Lockdown da Apple ativado, o kit falha – ele nem tenta.
O código do ataque é codificado com criptografia forte, por isso é difícil para os pesquisadores de segurança interceptar e analisar, e é empacotado em um formato personalizado que os próprios desenvolvedores aparentemente inventaram. O código também inclui notas detalhadas escritas em inglês explicando como tudo funciona e usa técnicas de ataque que nunca foram vistas publicamente antes, de acordo com a análise do GTIG.
O kit tem como alvo carteiras de criptomoedas e dados financeiros e é capaz de se conectar a 18 aplicativos de criptografia diferentes para exfiltrar credenciais de carteira. A carga útil pode decodificar códigos QR de imagens em disco e também possui um módulo para analisar blocos de texto em busca de sequências de palavras BIP39 ou palavras-chave muito específicas, como “frase de backup” ou “conta bancária”. Ele até verifica o Apple Notes em busca de frases-semente típicas.
Qualquer pessoa que ainda use o iOS 17.2.1 ou anterior está potencialmente vulnerável ao kit de exploração, que não funciona nas versões mais recentes do iOS, portanto, atualize se puder. Caso contrário, a conclusão parece ser que o Modo Lockdown da Apple está fazendo seu trabalho para afastar um kit de exploração tão poderoso, e isso só pode ser uma boa notícia para aqueles que o habilitam.
