Pesquisadores identificaram um novo e sofisticado kit de exploração para iOS chamado Coruna, também conhecido como CryptoWaters, capaz de comprometer iPhones que executam versões do sistema iOS entre 13.0 e 17.2.1. O framework reúne 23 vulnerabilidades distribuídas em cinco cadeias completas de exploração, permitindo que invasores obtenham acesso avançado aos dispositivos.

De acordo com o Google Threat Intelligence Group (GTIG), o kit se destaca não apenas pela quantidade de vulnerabilidades exploradas, mas também pelo uso de técnicas avançadas de exploração e métodos de bypass de mecanismos de segurança ainda não divulgados publicamente. O sistema foi projetado de forma modular, conectando diferentes exploits por meio de frameworks de exploração e utilitários compartilhados.

Apesar da sofisticação do kit, ele não é eficaz contra as versões mais recentes do iOS, que já receberam correções para diversas vulnerabilidades utilizadas na campanha.

Mercado de exploits reutilizados

As análises indicam que o Coruna começou a circular entre diferentes invasores a partir de fevereiro de 2025, passando por diversas mãos ao longo do tempo. Inicialmente, o kit teria sido utilizado por uma empresa de vigilância comercial, depois por um invasor patrocinado por governo e, posteriormente, por um grupo com motivação financeira operando a partir da China, no final de 2025.

Ainda não está claro como o kit foi transferido entre esses atores. No entanto, o caso revela a existência de um mercado ativo de exploits zero-day reutilizados, onde ferramentas originalmente criadas para operações de espionagem acabam sendo revendidas ou reaproveitadas por outros invasores.

Segundo especialistas da empresa de segurança móvel iVerify, o Coruna representa um dos exemplos mais claros de capacidade de spyware avançado migrando do setor de vigilância comercial para operações estatais e, posteriormente, para atividades criminosas em larga escala.

Exploração começa com framework JavaScript

A investigação revelou que parte da cadeia de exploração foi inicialmente observada no início de 2025, quando invasores utilizaram um framework JavaScript inédito para iniciar o ataque.

Esse framework é responsável por realizar um fingerprint detalhado do dispositivo, coletando informações como:

• modelo exato do iPhone

• versão do iOS instalada

• características do dispositivo

Com base nesses dados, o sistema seleciona automaticamente o exploit mais adequado para o alvo.

A primeira etapa do ataque envolve a exploração de uma falha no WebKit, mecanismo de renderização utilizado pelo Safari e por aplicativos que exibem conteúdo web. A vulnerabilidade explorada é a CVE-2024-23222, um bug do tipo type confusion, que permite execução remota de código (RCE).

Essa falha foi corrigida pela Apple em janeiro de 2024, com o lançamento do iOS 17.3 e iPadOS 17.3, além de atualizações de segurança para versões anteriores do sistema.

Ataques foram observados em sites comprometidos

Em julho de 2025, o framework JavaScript foi identificado no domínio cdn.uacounter[.]com, carregado como um iFrame oculto em diversos sites comprometidos na Ucrânia.

Entre os tipos de sites afetados estavam:

• páginas de equipamentos industriais

• ferramentas de varejo

• serviços locais

• plataformas de comércio eletrônico

A campanha é atribuída a um grupo de espionagem suspeito chamado UNC6353, que entregava os exploits apenas para usuários de iPhone localizados em regiões específicas, indicando um ataque altamente direcionado.

Nesse estágio da campanha, foram utilizadas as vulnerabilidades:

• CVE-2024-23222

• CVE-2022-48503

• CVE-2023-43000

A última delas é uma falha do tipo use-after-free no WebKit, corrigida pela Apple em 2023, mas que só teve documentação completa publicada em novembro de 2025.

Nova campanha usou sites falsos na China

Uma terceira onda de ataques foi identificada em dezembro de 2025, quando pesquisadores descobriram uma rede de sites falsos chineses, muitos deles relacionados a serviços financeiros.

Esses sites orientavam usuários a acessá-los por meio de iPhones ou iPads, alegando oferecer melhor experiência para dispositivos móveis. Ao acessar as páginas, um iFrame oculto era injetado, iniciando a entrega do kit de exploração Coruna.

Essa campanha foi atribuída a um cluster de ameaças monitorado como UNC6691, e diferentemente das campanhas anteriores, não havia restrições geográficas para entrega do exploit.

Malware rouba criptomoedas e dados sensíveis

Após a exploração bem-sucedida do dispositivo, os invasores implantam um componente inicial chamado PlasmaLoader, também conhecido como PLASMAGRID.

Esse malware é capaz de:

• decodificar QR codes de imagens

• baixar módulos adicionais de servidores externos

• roubar dados sensíveis de aplicativos

Entre os aplicativos visados estão carteiras de criptomoedas e serviços financeiros, incluindo:

• Base

• Bitget Wallet

• Exodus

• MetaMask

O malware também utiliza uma infraestrutura de comando e controle (C2) com múltiplos servidores e inclui um algoritmo de geração de domínios (DGA) baseado na palavra “lazarus”, capaz de criar automaticamente novos domínios com extensão .xyz caso os servidores principais fiquem indisponíveis.

Ataque evita dispositivos com Lockdown Mode

Uma característica curiosa do Coruna é que o exploit não é executado em dispositivos com o Lockdown Mode ativado, um modo de segurança avançado introduzido pela Apple para proteger usuários contra ataques altamente sofisticados.

Além disso, o kit também evita executar a exploração quando o navegador está em modo de navegação privada, possivelmente para dificultar a análise e detecção da campanha.

Especialistas recomendam que usuários de iPhone mantenham o sistema operacional sempre atualizado e considerem ativar o Lockdown Mode para reduzir o risco de exploração.