Em 26 de março de 2026, a Kaspersky divulgou uma análise detalhada sobre o kit de exploração Coruna, um framework sofisticado que visa dispositivos Apple iPhone. A descoberta revela uma conexão direta com a Operação Triangulação, uma campanha de APT móvel complexa que utilizava implantes de spyware e múltiplas explorações de dia zero. A análise do kit mostrou que ele depende da exploração de várias vulnerabilidades anteriormente corrigidas, além de incluir exploits para CVE-2023-32434 e CVE-2023-38606. Essas duas vulnerabilidades chamaram a atenção dos pesquisadores por terem sido descobertas inicialmente como dia-zeros usados na Operação Triangulação.
Detalhes técnicos do kit de exploração
Embora a investigação continue sobre todas as vulnerabilidades usadas pelo Coruna, o post fornece uma visão geral de alto nível do kit e da cadeia de ataque. A exploração começa com um stager que faz fingerprinting do navegador e seleciona e executa exploits de execução remota de código (RCE) e de código de autenticação de ponteiro (PAC) apropriados, dependendo da versão do navegador. O stager também contém uma URL para um arquivo criptografado com informações sobre todos os pacotes disponíveis contendo exploits e outros componentes. A URL e a chave de descriptografia são passadas para um payload incorporado em exploits PAC.
Evolução dos exploits de kernel e compatibilidade
A análise de todos os cinco exploits de kernel do kit revelou que um deles é uma versão atualizada do mesmo exploit descoberto na Operação Triangulação. Existem muitas pequenas alterações, mas as mais notáveis incluem: o código leva em conta mais valores das strings de versão XNU, permitindo uma verificação de versão mais precisa; adicionou uma verificação para iOS 17.2, assumindo que esta era a versão mais recente do iOS no momento do desenvolvimento; adicionou verificações para novos processadores Apple: A17, M3, M3 Pro, M3 Max; e adicionou uma verificação para a versão iOS 16.5 beta 4, que corrigiu o exploit após o relatório à Apple.
Arquitetura modular e distribuição de componentes
O Coruna inclui quatro exploits de kernel adicionais que não foram vistos na Operação Triangulação, dois dos quais foram desenvolvidos após a descoberta da Operação Triangulação. Todos esses exploits são construídos na mesma estrutura de exploração de kernel e compartilham código comum. As semelhanças de código dos exploits de kernel também podem ser encontradas em outros componentes do Coruna. Essas descobertas levaram os pesquisadores a concluir que este kit de exploração não foi patchwork, mas sim projetado com uma abordagem unificada. Assume-se que seja uma versão atualizada da mesma estrutura de exploração que foi usada, pelo menos em certa medida, na Operação Triangulação.
Riscos de proliferação para cibercriminosos
Este caso demonstra mais uma vez os perigos associados a ferramentas maliciosas que residem em seu potencial de uso amplo. Originalmente desenvolvido para fins de ciberespionagem, este framework agora está sendo usado por cibercriminosos de um tipo mais amplo, colocando milhões de usuários com dispositivos não atualizados em risco. Dado seu design modular e facilidade de reutilização, espera-se que outros atores de ameaças comecem a incorporá-lo em seus ataques.
Recomendações de atualização e proteção iOS
A Kaspersky recomenda fortemente que os usuários instalem as atualizações de segurança mais recentes o mais rápido possível, se ainda não o fizeram. A natureza modular do Coruna e a facilidade de reutilização sugerem que a ameaça pode se espalhar rapidamente para além dos alvos iniciais de espionagem, atingindo usuários comuns que não mantêm seus dispositivos atualizados.
Perguntas frequentes
- O que é o Coruna? É um kit de exploração sofisticado que visa dispositivos iOS, usando múltiplas vulnerabilidades de kernel.
- Qual a relação com a Operação Triangulação? O Coruna usa uma versão atualizada do mesmo exploit de kernel usado na Operação Triangulação.
- Quais dispositivos estão em risco? Dispositivos iOS que não foram atualizados para as versões mais recentes de segurança.
- Como se proteger? Mantenha o iOS atualizado e evite clicar em links suspeitos.
Conclusão
A descoberta do Coruna destaca a evolução das ameaças móveis, onde ferramentas de espionagem estatal são adaptadas para uso criminal. A atualização imediata do sistema operacional é a medida mais eficaz de mitigação contra este tipo de ataque.