Kit de hacking para iPhone usado por espiões russos provavelmente veio de contratada militar dos EUA
Aprofundamento CEVIU
Aprofundamento
O kit Coruna não é só mais um exploit comercial: é o primeiro caso documentado de uma ferramenta de exploração de iOS, desenvolvida por contratada militar dos EUA para uso exclusivo de aliados do Five Eyes, que vazou para espiões russos e depois foi reaproveitada por cibercriminosos chineses com foco em roubo de criptomoedas. Ele contém cinco cadeias completas de exploração, incluindo Photon e Gallium, já ligados à Operation Triangulation, e explora falhas até no iOS 17.2.1. A invasão costuma começar com um clique acidental em sites falsos de apostas ou exchanges, que carregam automaticamente o PlasmaLoader, um loader malicioso com privilégios elevados.
A Apple já corrigiu as vulnerabilidades da Triangulation em outubro de 2023, mas o Coruna reutiliza e atualiza parte dessa base de código, atingindo versões ainda não totalmente protegidas. A CISA listou três de suas falhas como 'exploradas ativamente' em 5 de março de 2026, sinal de que ataques reais já estavam em curso antes da divulgação pública do kit em 3 de março.
Por que isso importa
Esse caso expõe uma falha sistêmica na cadeia de suprimentos de vigilância digital: ferramentas projetadas para estados-nação estão escapando para mercados negros globais, alimentando ameaças híbridas, espionagem estatal, sabotagem geopolítica e crime organizado. Empresas brasileiras com executivos que usam iPhones antigos (iOS 13, 17.2.1) ou que operam em setores sensíveis (energia, finanças, defesa) estão expostas a ataques sem interação do usuário ('zero-click') via watering holes. Não há patch para todos os exploits do Coruna ainda, apenas mitigação via atualização imediata para iOS 18.4+, bloqueio de tráfego suspeito e revisão de políticas de navegação corporativa.
Perguntas frequentes
O Coruna ainda funciona em iPhones atuais?
Não contra iOS 18.4 ou superior, segundo análise da Kaspersky e da CISA. Mas continua eficaz em dispositivos com iOS entre 13.0 e 17.2.1, uma faixa ampla que inclui modelos ainda em uso rotineiro, como iPhone 8, X e XR. A Apple lançou patches pontuais para versões antigas após a divulgação do kit.
Como o Coruna chegou às mãos de espiões russos?
Peter Williams, ex-GM da divisão Trenchant da L3Harris, roubou pelo menos oito exploits entre 2022 e 2025 e os vendeu por US$ 1,3 milhão à Operation Zero, broker russo sancionado pelos EUA em fevereiro de 2026. Essa venda foi o elo direto entre a tecnologia de vigilância norte-americana e o grupo UNC6353.
Qual a diferença entre Coruna e Operation Triangulation?
A Triangulation foi uma campanha operacional ativa desde 2019, com foco em espionagem zero-click. O Coruna é um kit comercial derivado da mesma base de código, mas com novos exploits, maior modularidade e alcance mais amplo de versões do iOS. Dois componentes (Photon e Gallium) são versões atualizadas dos usados na Triangulation.
Empresas brasileiras devem se preocupar com isso?
Sim. O UNC6353 já mirou alvos ucranianos com técnicas idênticas às usadas no Brasil por grupos como o UNC6691, especializado em roubo de carteiras de cripto. Se sua equipe usa iPhones antigos ou acessa sites de nicho (como plataformas de trading ou apostas), o risco de infecção via watering hole é real, e não depende de erro humano óbvio, como clicar em anexo.
Fontes
- techcrunch.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 11 de março de 2026
- Editoria
- CEVIU Segurança da Informação
