Pesquisadores de segurança identificaram um novo e sofisticado kit de exploração voltado para dispositivos da Apple. A ferramenta, chamada Coruna (também conhecida como CryptoWaters) é capaz de comprometer iPhones que executam versões do iOS entre 13.0 e 17.2.1, explorando um conjunto de 23 vulnerabilidades diferentes.
O framework reúne cinco cadeias completas de exploração, permitindo que invasores obtenham acesso avançado ao dispositivo da vítima. A descoberta foi divulgada por pesquisadores do Google Threat Intelligence Group (GTIG), que destacaram a complexidade e o nível de sofisticação da ferramenta.
Embora poderoso, o kit não funciona nas versões mais recentes do iOS, que já receberam correções de segurança para várias das falhas exploradas.
Kit utiliza múltiplos exploits e técnicas avançadas
Segundo os pesquisadores do GTIG, o Coruna se diferencia de outros kits de exploração por combinar um grande número de vulnerabilidades com técnicas avançadas de bypass de segurança que ainda não haviam sido divulgadas publicamente.
A arquitetura do kit é modular, permitindo que diferentes exploits sejam conectados por meio de frameworks de exploração e utilitários compartilhados. Isso facilita a adaptação do ataque para diferentes dispositivos e versões do sistema.
Na prática, esse modelo permite que invasores escolham automaticamente o melhor método de invasão para cada alvo.
Mercado clandestino de exploits reutilizados
A investigação aponta que o Coruna começou a circular entre diferentes grupos de ameaças a partir de fevereiro de 2025.
Inicialmente, o kit teria sido utilizado por uma empresa de vigilância comercial. Posteriormente, a ferramenta teria sido adquirida por um grupo patrocinado por governo e, mais tarde, por cibercriminosos com motivação financeira operando a partir da China, no final de 2025.
Ainda não está claro como o kit foi transferido entre esses atores. No entanto, o caso evidencia a existência de um mercado clandestino ativo de exploits zero-day, no qual ferramentas criadas para espionagem acabam sendo revendidas ou reutilizadas por outros invasores.
Especialistas da empresa de segurança móvel iVerify afirmam que o Coruna representa um exemplo claro de como tecnologias de spyware avançado podem migrar do setor de vigilância para operações governamentais e, posteriormente, para o crime cibernético em larga escala.
Ataque começa com framework JavaScript
Parte da cadeia de ataque foi observada no início de 2025, quando invasores passaram a utilizar um framework JavaScript inédito para iniciar o processo de exploração.
Esse sistema realiza um fingerprint detalhado do dispositivo, coletando informações como:
- modelo exato do iPhone
- versão instalada do iOS
- características técnicas do dispositivo
Com base nesses dados, o kit seleciona automaticamente o exploit mais adequado para comprometer o alvo.
Vulnerabilidade no WebKit inicia a invasão
A primeira etapa do ataque explora uma falha no WebKit, o motor de renderização utilizado pelo navegador Safari e por diversos aplicativos que exibem conteúdo web.
A vulnerabilidade utilizada é a CVE-2024-23222, classificada como type confusion, que permite execução remota de código (RCE) no dispositivo.
Essa falha foi corrigida pela Apple em janeiro de 2024, com o lançamento do iOS 17.3 e iPadOS 17.3, além de atualizações de segurança para versões anteriores do sistema.
Ataques foram distribuídos por sites comprometidos
Em julho de 2025, pesquisadores identificaram o framework JavaScript malicioso sendo carregado a partir do domínio cdn.uacounter[.]com, inserido como iFrame oculto em diversos sites comprometidos na Ucrânia.
Entre os sites afetados estavam páginas de:
- equipamentos industriais
- ferramentas de varejo
- serviços locais
- plataformas de comércio eletrônico
A campanha foi atribuída a um grupo de espionagem rastreado como UNC6353, que entregava os exploits apenas para usuários de iPhone em regiões específicas, indicando um ataque altamente direcionado.
Nesse estágio, os invasores exploraram as vulnerabilidades:
- CVE-2024-23222
- CVE-2022-48503
- CVE-2023-43000
A última é uma falha use-after-free no WebKit corrigida pela Apple em 2023, mas cuja documentação completa só foi publicada em novembro de 2025.
Nova campanha utilizou sites falsos na China
Uma terceira onda de ataques foi descoberta em dezembro de 2025, quando pesquisadores identificaram uma rede de sites falsos chineses, muitos deles relacionados a serviços financeiros.
Esses sites orientavam usuários a acessá-los exclusivamente por iPhones ou iPads, alegando oferecer melhor experiência em dispositivos móveis. Após o acesso, um iFrame oculto iniciava automaticamente a entrega do kit de exploração Coruna.
Essa campanha foi atribuída a um cluster de ameaças monitorado como UNC6691. Diferentemente das campanhas anteriores, não havia restrições geográficas para a distribuição do exploit.
Malware rouba criptomoedas e dados financeiros
Após a exploração bem-sucedida do dispositivo, os invasores instalam um componente inicial chamado PlasmaLoader, também conhecido como PLASMAGRID.
O malware possui diversas capacidades maliciosas, incluindo:
- decodificação de QR codes em imagens
- download de módulos adicionais
- roubo de dados sensíveis de aplicativos
Entre os aplicativos visados estão carteiras de criptomoedas e serviços financeiros, como:
- MetaMask
- Exodus Wallet
- Bitget Wallet
- Base
O malware também utiliza uma infraestrutura de comando e controle (C2) com múltiplos servidores e um algoritmo de geração de domínios (DGA) baseado na palavra “lazarus”, capaz de gerar automaticamente novos domínios com extensão .xyz caso os servidores principais fiquem indisponíveis.
Lockdown Mode bloqueia o ataque
Uma característica curiosa do kit Coruna é que ele evita executar a exploração em dispositivos com o Lockdown Mode ativado, um modo de segurança avançado desenvolvido pela Apple para proteger usuários contra ataques altamente sofisticados.
Além disso, o exploit também não é executado quando o navegador está em modo de navegação privada, possivelmente para dificultar a análise por pesquisadores de segurança.
Como se proteger
Especialistas recomendam algumas medidas para reduzir o risco de exploração:
- manter o iOS sempre atualizado
- evitar acessar links suspeitos ou sites desconhecidos
- ativar o Lockdown Mode em dispositivos com maior risco de ataque
- manter atenção a atualizações de segurança da Apple
Manter o sistema atualizado continua sendo uma das defesas mais eficazes contra kits de exploração que utilizam vulnerabilidades já corrigidas.
