CEVIU Logo
Voltar

Kit de hacking para iPhone usado por espiões russos provavelmente veio de contratada militar dos EUA

Aprofundamento CEVIU

Aprofundamento

O kit Coruna não é só mais um exploit comercial: é o primeiro caso documentado de uma ferramenta de exploração de iOS, desenvolvida por contratada militar dos EUA para uso exclusivo de aliados do Five Eyes, que vazou para espiões russos e depois foi reaproveitada por cibercriminosos chineses com foco em roubo de criptomoedas. Ele contém cinco cadeias completas de exploração, incluindo Photon e Gallium, já ligados à Operation Triangulation, e explora falhas até no iOS 17.2.1. A invasão costuma começar com um clique acidental em sites falsos de apostas ou exchanges, que carregam automaticamente o PlasmaLoader, um loader malicioso com privilégios elevados.

A Apple já corrigiu as vulnerabilidades da Triangulation em outubro de 2023, mas o Coruna reutiliza e atualiza parte dessa base de código, atingindo versões ainda não totalmente protegidas. A CISA listou três de suas falhas como 'exploradas ativamente' em 5 de março de 2026, sinal de que ataques reais já estavam em curso antes da divulgação pública do kit em 3 de março.

Por que isso importa

Esse caso expõe uma falha sistêmica na cadeia de suprimentos de vigilância digital: ferramentas projetadas para estados-nação estão escapando para mercados negros globais, alimentando ameaças híbridas, espionagem estatal, sabotagem geopolítica e crime organizado. Empresas brasileiras com executivos que usam iPhones antigos (iOS 13, 17.2.1) ou que operam em setores sensíveis (energia, finanças, defesa) estão expostas a ataques sem interação do usuário ('zero-click') via watering holes. Não há patch para todos os exploits do Coruna ainda, apenas mitigação via atualização imediata para iOS 18.4+, bloqueio de tráfego suspeito e revisão de políticas de navegação corporativa.

Perguntas frequentes

O Coruna ainda funciona em iPhones atuais?

Não contra iOS 18.4 ou superior, segundo análise da Kaspersky e da CISA. Mas continua eficaz em dispositivos com iOS entre 13.0 e 17.2.1, uma faixa ampla que inclui modelos ainda em uso rotineiro, como iPhone 8, X e XR. A Apple lançou patches pontuais para versões antigas após a divulgação do kit.

Como o Coruna chegou às mãos de espiões russos?

Peter Williams, ex-GM da divisão Trenchant da L3Harris, roubou pelo menos oito exploits entre 2022 e 2025 e os vendeu por US$ 1,3 milhão à Operation Zero, broker russo sancionado pelos EUA em fevereiro de 2026. Essa venda foi o elo direto entre a tecnologia de vigilância norte-americana e o grupo UNC6353.

Qual a diferença entre Coruna e Operation Triangulation?

A Triangulation foi uma campanha operacional ativa desde 2019, com foco em espionagem zero-click. O Coruna é um kit comercial derivado da mesma base de código, mas com novos exploits, maior modularidade e alcance mais amplo de versões do iOS. Dois componentes (Photon e Gallium) são versões atualizadas dos usados na Triangulation.

Empresas brasileiras devem se preocupar com isso?

Sim. O UNC6353 já mirou alvos ucranianos com técnicas idênticas às usadas no Brasil por grupos como o UNC6691, especializado em roubo de carteiras de cripto. Se sua equipe usa iPhones antigos ou acessa sites de nicho (como plataformas de trading ou apostas), o risco de infecção via watering hole é real, e não depende de erro humano óbvio, como clicar em anexo.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
11 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser