Versões antigas do sistema operacional iOS são vulneráveis a um exploit kit que foi utilizado por diferentes grupos em 2025, incluindo o governo dos Estados Unidos, espiões russos e um grupo hacker chinês. A informação foi divulgada pelo Grupo de Inteligência contra Ameaças do Google (GTIG) nesta semana.
O kit, chamado Coruna, utiliza 23 vulnerabilidades do iOS para invadir iPhones sem a necessidade de instalação de aplicativos.
Origem e circulação do malware
O Coruna foi detectado pela primeira vez em fevereiro de 2025, operado por um cliente de uma empresa de vigilância não identificada. A mesma estrutura apareceu em campanhas do UNC6353, grupo suspeito de espionagem russa, que visou sites e usuários da Ucrânia.
O pacote completo do malware foi utilizado pelo UNC6691, um grupo hacker chinês, no final de 2025.
Como o ataque ocorre
O Coruna combina 23 vulnerabilidades do iOS em cinco cadeias de exploração, funcionando sem que a vítima precise instalar nada. iPhones rodando o iOS 13 até o 17.2.1 são vulneráveis, segundo o Google.
A cadeia de ataque começa com a exploração do motor de navegação do Safari (WebKit) para executar o código remotamente no dispositivo. Em seguida, contorna proteções de memória do sistema e obtém acesso ao kernel do iPhone.
Na campanha do grupo chinês, páginas falsas de corretores de finanças e jogos de azar serviam de isca. O sistema carregava um payload focado em roubo financeiro, o PlasmaLoader.
O malware roubava informações de carteiras de ao menos 18 aplicativos, incluindo MetaMask, Trust Wallet, Phantom e Exodus.
Possível ligação com o governo dos EUA
A empresa de segurança iVerify, que realizou engenharia reversa, afirmou que o kit pode ter sido desenvolvido pelo governo dos Estados Unidos. O código apresenta semelhanças com armas cibernéticas do país e contém documentação em inglês.
A revista Wired reportou que o Coruna utiliza módulos de invasão vistos anteriormente na “Operação Triangulation”.
Recomendações de segurança
O Coruna não é eficaz contra a versão mais recente do iOS. A recomendação é que os usuários de iPhone atualizem o sistema operacional. Usuários que não puderem atualizar e quiserem se proteger, devem ativar o Modo de Isolamento.
O Google adicionou todos os sites e domínios identificados ao Safe Browsing.
