Ferramenta usada em ataques avançados volta a colocar iPhones em risco
A Coruna, ferramenta ligada a campanhas de espionagem altamente sofisticadas contra iPhones, voltou ao radar de pesquisadores de segurança digital. Uma nova análise técnica revelou conexões diretas entre esse kit de exploração e a operação Triangulation, campanha de vigilância descoberta em 2023 que tinha como alvo usuários de dispositivos Apple. Em vez de desaparecer após a exposição, o framework evoluiu, ampliou seu alcance e continua a ser usado em ofensivas contra o ecossistema iOS.
De acordo com especialistas, o que está em jogo não é apenas a reutilização de vulnerabilidades já conhecidas, mas a continuidade de uma infraestrutura de exploração profissionalizada. Pesquisadores da Kaspersky identificaram que o exploit de kernel explorando as falhas CVE-2023-32434 e CVE-2023-38606 é, na prática, uma versão modernizada do mesmo código utilizado na operação Triangulation. Isso indica que o grupo por trás da ferramenta segue ativo, mantendo e refinando seu arsenal ao longo do tempo.
O Google já havia descrito o Coruna como um dos kits mais completos em circulação, composto por cinco cadeias de exploração distintas e um total de 23 exploits. O conjunto é capaz de atacar iPhones com versões que vão do iOS 13.0 ao iOS 17.2.1, cobrindo uma ampla base instalada de dispositivos, do mais antigo ao mais recente. Esse tipo de estrutura costuma ser associado a operações extremamente direcionadas, como espionagem estatal ou ataques a alvos de alto valor, mas o cenário atual sugere uma circulação maior desse tipo de ferramenta entre diferentes grupos.
O vetor inicial de infecção segue um padrão bastante conhecido em ataques contra iOS: a vítima acessa, via Safari, um site comprometido ou maliciosamente preparado. Assim que o usuário entra na página, um componente inicial é acionado para mapear o ambiente. Esse módulo identifica o navegador, a versão exata do sistema operacional e informações do dispositivo, selecionando automaticamente a cadeia de exploits mais adequada para aquele alvo específico. Essa abordagem modular aumenta as chances de sucesso e reduz falhas na execução do ataque.
Com o perfil do dispositivo definido, o kit passa para a fase crítica da operação: o comprometimento do kernel, núcleo do sistema operacional. O Coruna baixa silenciosamente os componentes adicionais necessários e dispara os exploits de kernel, acompanhados de loaders no formato Mach-O – executáveis nativos do macOS e iOS – e um launcher que orquestra a fase pós-exploração. Esse launcher controla a execução dos módulos seguintes, cuida da persistência temporária e, ao mesmo tempo, se encarrega de apagar rastros para dificultar a detecção.
Um dos aspectos mais preocupantes revelados pela nova pesquisa é justamente a capacidade de limpeza e evasão do framework. O launcher executa rotinas para remover arquivos temporários, registros de logs e outros indícios que possam denunciar a presença do código malicioso. Esse comportamento torna a análise forense muito mais complexa e, em muitos casos, impede que a vítima perceba qualquer sinal de comprometimento. Em operações de espionagem, discrição é tão importante quanto o próprio acesso ao dispositivo.
Os pesquisadores também identificaram que o Coruna recebeu atualizações para acompanhar a evolução do hardware da Apple. O framework agora traz suporte a chips mais recentes, como o A17 – presente em modelos de última geração de iPhone – e integrantes da família M3, usados em computadores e alguns dispositivos mais novos do ecossistema Apple. Além disso, há checagens específicas para builds atualizadas do iOS, demonstrando que os desenvolvedores da ferramenta acompanham de perto as mudanças no sistema e fazem ajustes constantes para manter a eficácia dos ataques.
Essa manutenção contínua mostra que não se trata de um kit abandonado ou pontual, mas de um projeto ativo, com ciclo de desenvolvimento próprio, testes e evolução tecnológica. Em linguagem de mercado, é praticamente um “produto” ofensivo, voltado a quem precisa de acesso silencioso e de alto nível a dispositivos iOS. E é justamente aí que entra um fenômeno mais amplo: o crescimento das empresas de cibersegurança ofensiva, que movimentam cifras bilionárias fornecendo exploits, ferramentas e serviços sob medida para governos e organizações.
Nos últimos anos, companhias especializadas em inteligência ofensiva e desenvolvimento de exploits zero-day atraíram mais de US$ 1 bilhão em investimentos. Esse volume de capital alimenta a criação de frameworks como o Coruna, que vão muito além de ferramentas amadoras ou malware genérico. São soluções com engenharia avançada, integração entre diversos módulos, foco em furtividade e suporte a múltiplas plataformas. A fronteira entre pesquisa de segurança legítima e o mercado de vigilância ofensiva nunca pareceu tão tênue.
Paralelamente, cresce a demanda por Threat Intelligence – inteligência de ameaças – por parte de empresas e governos. Organizações buscam entender quem são os atores por trás de campanhas avançadas, quais técnicas utilizam, quais vulnerabilidades exploram e como esses ataques evoluem com o tempo. A reaproximação do Coruna com a operação Triangulation é um exemplo claro de como esse tipo de inteligência é fundamental: só ao correlacionar códigos, exploits e cadeias de ataque é possível perceber que estamos diante de um mesmo framework em constante mutação.
No campo da defesa, a popularização de ferramentas tão sofisticadas força uma revisão das metodologias tradicionais de Pentest. Testes de intrusão clássicos, baseados apenas em exploração de falhas conhecidas e simulações limitadas, já não são suficientes para reproduzir cenários com a complexidade de um framework como o Coruna. Muitas equipes de segurança começam a adotar abordagens inspiradas em adversary emulation, reproduzindo cadeias completas de ataque – do acesso inicial à pós-exploração – para avaliar se os controles de segurança realmente resistem a ameaças de nível avançado.
Para o usuário comum de iPhone, a existência de uma ferramenta como essa reforça um ponto essencial: dispositivos Apple não são imunes a ataques, especialmente quando se trata de alvos de alto valor, como jornalistas, executivos, ativistas, diplomatas ou funcionários de órgãos governamentais. Embora a probabilidade de um usuário médio ser atingido por um kit tão caro e complexo seja baixa, o risco aumenta à medida que essas ferramentas se difundem ou quando partes de seu código acabam sendo reaproveitadas por outros grupos.
Algumas medidas ajudam a reduzir a superfície de ataque. Manter o iOS atualizado é o passo básico, já que muitas cadeias de exploração dependem de vulnerabilidades corrigidas em versões mais recentes. Evitar jailbreak, desativar recursos desnecessários, limitar o número de perfis de configuração instalados e ter cuidado com sites suspeitos ou links recebidos por canais não confiáveis também reduz oportunidades de exploração. Em ambientes de alto risco, é comum a adoção de políticas mais rígidas, como renovação frequente de dispositivos, segmentação de uso profissional e pessoal e monitoramento especializado.
Para empresas que lidam com informações sensíveis, a discussão vai além do dispositivo em si. A presença de kits como o Coruna obriga a repensar a segurança móvel como parte estratégica da proteção corporativa. Isso envolve desde políticas claras de uso de smartphones até a adoção de soluções de Mobile Threat Defense, monitoramento de comportamentos anômalos e programas internos de conscientização voltados a executivos e colaboradores com maior exposição.
No cenário mais amplo, a evolução do Coruna e sua conexão com campanhas como a Triangulation ilustram um ponto central: a corrida entre atacantes e defensores está se acelerando. Enquanto fabricantes como a Apple reforçam mecanismos de isolamento, proteção de memória e mitigação de exploits, grupos ofensivos respondem com kits cada vez mais complexos, capazes de encadear múltiplas vulnerabilidades para contornar essas barreiras. A segurança de iPhones e demais dispositivos iOS, portanto, não é um estado definitivo, mas um processo contínuo de atualização, análise e adaptação.
Em síntese, o retorno da Coruna ao centro do debate mostra que ferramentas de espionagem digital de alto nível não apenas sobrevivem à exposição pública, mas se transformam e se expandem. Para usuários, empresas e governos, isso significa que a vigilância deve ser permanente, tanto em relação às atualizações de sistemas quanto à compreensão das ameaças que operam de forma silenciosa nos bastidores do ecossistema móvel.