Um kit de exploração para iPhones descoberto em março de 2026 tem mais em comum com uma das campanhas de espionagem mais sofisticadas já documentadas do que se imaginava inicialmente.
Análise técnica dos componentes do Coruna revelou que a ferramenta não foi construída do zero. Ela, na verdade, é uma versão atualizada da mesma estrutura usada na Operação Triangulation, campanha de espionagem móvel identificada em 2023.
smart_display
Nossos vídeos em destaque
A conclusão veio após uma análise técnica detalhada dos componentes do kit, possível porque os links de distribuição ainda estavam ativos quando o Google e a iVerify divulgaram os primeiros relatórios sobre a ferramenta.
O que é o Coruna
O Coruna é um kit de exploração voltado para iPhones que rodam versões do iOS entre 13.0 e 17.2.1. Ele foi documentado pela primeira vez pelo Google e pela iVerify no início de março de 2026. O kit contém cinco cadeias completas de exploração para iOS, com um total de 23 exploits.
Entre eles estão o CVE-2023-32434 e o CVE-2023-38606, duas vulnerabilidades que chamaram a atenção da Kaspersky imediatamente. Ambas foram exploradas pela primeira vez como zero-days na Operação Triangulation, em 2023.
)
Todos os detalhes técnicos dessas falhas já fossem públicos e outros pesquisadores tenham desenvolvido seus próprios exploits de forma independente. No entanto, a Kaspersky decidiu investigar se o código presente no Coruna tinha alguma relação direta com o da campanha anterior.
A ligação com a Operação Triangulation
A Operação Triangulation foi uma campanha sofisticada de espionagem móvel descoberta pela Kaspersky enquanto monitorava o tráfego de sua própria rede corporativa. A empresa identificou atividade suspeita originada de iPhones conectados à rede interna.
Após uma investigação de mais de seis meses, pesquisadores descobriram que a campanha utilizava um implante de spyware avançado e múltiplos exploits zero-day para comprometer dispositivos iOS.
)
A análise do Coruna mostrou que o exploit de kernel para o CVE-2023-32434 e o CVE-2023-38606 presente no kit não é uma reimplementação independente das vulnerabilidades. Trata-se, na avaliação da Kaspersky, de uma versão modificada e atualizada do mesmo código usado na Triangulation, e produzida pelos mesmos autores.
As mudanças no código
As modificações identificadas pela Kaspersky no exploit atualizado indicam desenvolvimento ativo. O código passou a incluir suporte a processadores mais recentes da Apple, como o A17, M3, M3 Pro e M3 Max, lançados no segundo semestre de 2023. Foram adicionadas também verificações para versões mais novas do iOS, incluindo a 17.2, lançada em dezembro de 2023.
Uma das adições mais reveladoras é a checagem específica para o iOS 16.5 beta 4. Esta é a versão que corrigiu as vulnerabilidades exploradas na Triangulation, após a divulgação da Kaspersky à Apple. A presença dessa verificação no código indica que os desenvolvedores acompanharam de perto as correções aplicadas pela Apple e ajustaram a ferramenta em resposta a elas.
)
Além do exploit atualizado, o Coruna inclui quatro exploits de kernel adicionais não observados na Operação Triangulation. Dois deles foram desenvolvidos após a descoberta da campanha original. Segundo a Kaspersky, todos esses exploits são construídos sobre a mesma estrutura base e compartilham código em comum. Isso reforça a conclusão de autoria unificada.
Como o ataque funciona
A cadeia de ataque começa quando um usuário acessa um site comprometido pelo Safari. Um componente inicial, chamado de stager, identifica o navegador e seleciona o exploit adequado com base na versão do browser e do sistema operacional.
Esse componente também contém a URL de um arquivo criptografado com informações sobre todos os pacotes de exploits disponíveis. Também está inclusa uma chave de 256 bits para descriptografá-lo.
)
Em seguida, uma carga útil é baixada e executada. Ela é responsável por acionar o exploit de kernel e, depois de concluída essa etapa, faz o download dos componentes adicionais necessários. Incluindo os carregadores Mach-O e o lançador do malware.
A seleção do carregador adequado leva em conta a versão do firmware, o modelo do processador e a presença de permissões específicas do sistema.
O componente final, chamado de launcher, é o orquestrador das atividades pós-exploração. Ele reutiliza objetos criados pelo exploit de kernel durante a execução para realizar leitura e escrita na memória do sistema. Isso tudo sem precisar acionar as vulnerabilidades novamente.
)
Sua função é injetar um stager no processo-alvo, executar o implante final e, por último, apagar os artefatos da exploração para dificultar a análise forense.
De espionagem estatal a uso em massa
O histórico de uso do Coruna ilustra a trajetória descrita pela Kaspersky. O kit foi utilizado inicialmente por um cliente de uma empresa de vigilância não identificada. Posteriormente, foi empregado por um agente estatal suspeito de alinhamento com a Rússia em ataques do tipo watering hole na Ucrânia.
Também foi identificado em uma campanha de exploração em massa que usou sites falsos de jogos de azar e criptomoedas para distribuir um malware de roubo de dados conhecido como PlasmaLoader.
)
A Kaspersky alerta que o design modular do kit e a facilidade de reutilização do código aumentam o risco de que outros grupos de ameaças incorporem a estrutura em seus próprios ataques.
A empresa recomenda que os usuários instalem as atualizações de segurança mais recentes disponíveis para seus dispositivos o quanto antes.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.