Descoberta e Escopo do Vazamento
Um poderoso kit de exploração para iPhone, denominado "Coruna", inicialmente criado para inteligência ocidental pelo contratante dos EUA L3Harris, caiu nas mãos de espiões russos e cibercriminosos chineses. O toolkit, desenvolvido pela divisão Trenchant da L3Harris, possui 23 componentes de hacking distintos projetados para comprometer iPhones.
O vazamento ocorreu quando Peter Williams, ex-gerente geral da Trenchant, agiu como uma ameaça interna e roubou oito ferramentas da empresa. Entre 2022 e 2025, Williams vendeu essas explorações por US$ 1,3 milhão para a Operation Zero, um corretor de explorações russo sancionado. Posteriormente, a Operation Zero revendeu o spyware a usuários não autorizados.
Impacto e Riscos Operacionais
Google e a empresa de segurança iVerify confirmaram que o Coruna atinge modelos de iPhone rodando iOS 13 até 17.2.1. O toolkit compartilha semelhanças marcantes com a campanha de hacking complexa "Operation Triangulation", exposta pela Kaspersky em 2023. Especificamente, o Coruna reutilizou duas explorações internas principais, Photon e Gallium, que foram implantadas como vulnerabilidades zero-day nos ataques da Triangulation.
O "Photon" está ligado ao CVE-2023-32434, uma falha de escalonamento de privilégios envolvendo overflow inteiro no mapeamento de memória. O "Gallium" está ligado ao CVE-2023-38606, uma fraqueza focada em hardware usada para contornar a Camada de Proteção de Página (PPL) da Apple. A disseminação dessas ferramentas para grupos criminosos amplia o risco para usuários comuns, não apenas alvos de espionagem.
Repercussão e Lições
Este incidente destaca os riscos severos quando armas cibernéticas de estado-nação caem no submundo criminal. A investigação revelou que os nomes internos dos módulos do Coruna, como Cassowary e Sparrow, correspondem às convenções de nomenclatura das unidades de hacking da L3Harris. Além disso, o logotipo personalizado da Kaspersky para a Operation Triangulation se assemelha ao logotipo geométrico da L3Harris.
Para os profissionais de segurança, a lição é clara: a proteção de ativos de exploração é tão crítica quanto a proteção de dados. A atualização do iOS para as versões mais recentes é a única mitigação eficaz contra essas explorações específicas. Organizações devem monitorar o uso de dispositivos móveis corporativos e considerar soluções de gerenciamento de dispositivos móveis (MDM) robustas para detectar comportamentos anômalos.