Alguém perdeu o controle das armas digitais do governo dos EUA. 42 mil iPhones já foram invadidos

Um kit de espionagem para iPhone feito sob medida para governos foi parar nas mãos de criminosos comuns. E não estamos falando de uma ferramenta qualquer: são 23 vulnerabilidades encadeadas em cinco cadeias de ataque completas, capazes de invadir iPhones rodando do iOS 13 ao iOS 17.2.1 sem que o dono do aparelho precise fazer nada além de abrir um site.

O nome do pacote é Coruna. E se você tem um iPhone que não está na versão mais recente do sistema, vale prestar atenção.

De onde veio o Coruna

O grupo de inteligência contra ameaças do Google identificou o Coruna pela primeira vez em fevereiro de 2025, durante uma tentativa de espionagem feita por um fornecedor de vigilância a serviço de um cliente governamental. Até aí, nada fora do comum no mundo da cibersegurança - governos compram ferramentas de espionagem digital faz tempo.

O problema é o que aconteceu depois.

A empresa de segurança móvel iVerify analisou o código do Coruna e encontrou semelhanças com ferramentas já atribuídas ao governo dos Estados Unidos. Rocky Cole, cofundador da iVerify, não teve meias palavras: disse que o código é de qualidade excepcional, com comentários no estilo de programadores americanos, e comparou o vazamento a um “momento EternalBlue” - referência ao exploit da NSA que, em 2017, alimentou os ataques globais do WannaCry e do NotPetya.

Parte dessas ferramentas compartilha código com a Operação Triangulação, uma campanha de espionagem descoberta em 2023 pela Kaspersky que atingiu milhares de dispositivos Apple. Na época, o governo russo acusou a NSA de estar por trás da operação.

Como o kit funciona na prática

Para quem não é da área de segurança, o funcionamento do Coruna é assustadoramente silencioso. O ataque acontece pelo que os especialistas chamam de “watering hole” - o invasor compromete um site legítimo e injeta código malicioso invisível. Quando alguém acessa esse site com um iPhone vulnerável, o kit entra em ação automaticamente.

O processo tem três etapas. Primeiro, um JavaScript oculto na página analisa o modelo do aparelho, a versão do iOS e as configurações de segurança. Segundo, o kit escolhe a cadeia de exploits adequada para aquele dispositivo específico e executa a invasão, escalando privilégios até ter controle total. Terceiro, instala um malware chamado PlasmaLoader, que pode baixar módulos adicionais de um servidor externo.

Um detalhe curioso: o Coruna checa se o aparelho está com o Modo de Bloqueio ativado - uma configuração de segurança reforçada que a Apple oferece para usuários em situação de risco. Se estiver ligado, o kit simplesmente aborta a operação. O mesmo vale para navegação privada. Isso mostra o nível de sofisticação: a ferramenta sabe quando é melhor recuar do que arriscar ser detectada.

De espionagem governamental a roubo de cripto

O Google rastreou a trajetória do Coruna ao longo de 2025 em três fases distintas.

Na primeira, entre fevereiro e meados de 2025, o kit apareceu em operações altamente direcionadas por clientes de empresas de vigilância. Na segunda fase, por volta de julho de 2025, um grupo de espionagem russo identificado como UNC6353 embutiu o Coruna em sites ucranianos de comércio eletrônico e equipamentos industriais, usando geolocalização para atingir apenas alvos específicos.

A terceira fase é a mais preocupante. No fim de 2025, um grupo chinês com motivação financeira, catalogado como UNC6691, pegou uma versão completa do kit e jogou no mundo inteiro. Sem restrição de localização. Sem alvo específico. O objetivo deixou de ser espionagem e virou dinheiro.

O malware instalado nessa fase rouba dados de carteiras de criptomoedas - MetaMask, Exodus, Bitget Wallet e Base estão entre os alvos confirmados - e extrai fotos e e-mails dos dispositivos comprometidos. Segundo o Google, pelo menos 42 mil iPhones foram invadidos pela variante criminosa, distribuída por meio de sites falsos de serviços financeiros em chinês.

Para o ecossistema iOS, 42 mil dispositivos comprometidos em uma única campanha é um número fora do comum. O iPhone sempre foi visto como mais seguro que Android justamente por ter menos ataques em larga escala. O Coruna quebra essa lógica.

O mercado de segunda mão de armas digitais

O que torna essa história especialmente incômoda é o que ela revela sobre o ciclo de vida dessas ferramentas. O Google identificou o que chamou de “mercado ativo de exploits zero-day de segunda mão” - uma espécie de bazar onde vulnerabilidades descobertas (e pagas) por governos acabam revendidas ou vazadas para outros atores.

Não é a primeira vez que isso acontece. Em outubro de 2025, Peter Williams, ex-funcionário da L3Harris - uma das maiores empreiteiras de defesa dos EUA -, se declarou culpado de vender pelo menos oito exploits a um intermediário russo. É o tipo de caso que mostra como a linha entre espionagem estatal e crime organizado está cada vez mais borrada.

A iVerify resumiu bem: “Mesmo que esta ferramenta tenha sido desenvolvida pelo governo dos EUA, isso não deveria ofuscar o fato de que essas ferramentas inevitavelmente encontram seu caminho para o mundo real.”

O que fazer agora

Se você tem um iPhone rodando qualquer versão do iOS anterior à 17.3, a recomendação é direta: atualize. Todas as vulnerabilidades exploradas pelo Coruna já foram corrigidas pela Apple em atualizações lançadas entre 2023 e janeiro de 2024. O kit não funciona contra as versões mais recentes do sistema.

Para quem quer uma camada extra de proteção, ativar o Modo de Bloqueio é a medida mais eficaz. Ele restringe funções do aparelho - desativa pré-visualizações de links no iMessage, bloqueia conexões USB quando travado, e limita o que sites podem executar no navegador. Não é prático para o dia a dia de todo mundo, mas é exatamente o tipo de coisa que faz o Coruna desistir de atacar.

O cenário é claro: ferramentas que custaram milhões de dólares para serem desenvolvidas em sigilo estão circulando entre criminosos que as usam para esvaziar carteiras de cripto. A sofisticação que antes era exclusividade de agências de inteligência agora está disponível para quem souber onde procurar. E o iPhone, que por anos vendeu a imagem de fortaleza digital, precisa de donos que mantenham essa fortaleza atualizada.