Pesquisadores de segurança do Google revelaram a existência do Coruna, um sofisticado kit de hacking voltado para iPhones que reúne cinco técnicas capazes de contornar praticamente todas as camadas de proteção do iOS. O conjunto explora ao menos 23 vulnerabilidades diferentes do sistema da Apple — um nível de complexidade raramente visto fora de operações de espionagem patrocinadas por Estados.
Segundo o relatório, os primeiros indícios do Coruna surgiram em fevereiro de 2025, quando ferramentas associadas ao kit foram vinculadas a um cliente de uma empresa de vigilância ainda não identificada. Meses depois, uma versão mais completa apareceu ligada a um grupo de espionagem russo, que ocultava o código malicioso dentro de um contador de visitas utilizado em sites ucranianos.
Posteriormente, o Google identificou o Coruna em uma campanha com motivação financeira. Nesse caso, hackers comprometeram sites de criptomoedas e plataformas de apostas em chinês para distribuir malwares capazes de roubar ativos digitais das vítimas.
Indícios apontam possível origem governamental
A empresa de segurança móvel iVerify, que também analisou o kit após encontrá-lo em sites infectados, levantou a hipótese de que o Coruna possa ter sido originalmente desenvolvido — ou adquirido — pelo governo dos Estados Unidos.
A análise identificou semelhanças técnicas com componentes usados na chamada Operação Triangulação, campanha de espionagem descoberta em 2023 contra a empresa russa Kaspersky. Na época, autoridades russas atribuíram a operação à NSA, acusação que nunca recebeu resposta oficial do governo norte-americano.
Outro elemento observado foi o padrão de desenvolvimento do código, aparentemente escrito originalmente por programadores de língua inglesa. Para Rocky Cole, cofundador da iVerify e ex-integrante da NSA, o nível técnico do Coruna indica um investimento de milhões de dólares e características típicas de ferramentas utilizadas em operações governamentais.
Na avaliação do especialista, este pode ser o primeiro caso documentado em que um arsenal digital altamente avançado, possivelmente estatal, escapou do controle e passou a circular entre adversários e cibercriminosos.
Ferramenta de espionagem agora circula no submundo digital
Independentemente de sua origem, o Google alerta que o Coruna parece ter se espalhado entre diferentes grupos ao longo do tempo, entrando em um cenário considerado “selvagem”, onde pode ser reutilizado e adaptado por novos atores maliciosos.
A disseminação sugere a existência de um mercado ativo de exploits zero-day de segunda mão — falhas desconhecidas que podem valer dezenas de milhões de dólares e são negociadas entre governos, empresas privadas e grupos criminosos.
Análises recentes mostram que versões modificadas do kit passaram a incluir funções mais simples, adicionadas posteriormente por criminosos, capazes de roubar criptomoedas, fotos armazenadas no aparelho e até e-mails sincronizados.
Apesar dessas modificações menos sofisticadas, especialistas destacam que o núcleo do Coruna permanece extremamente avançado e modular, indicando que toda a estrutura foi criada como um projeto único e profissional — e não como um conjunto improvisado de códigos reaproveitados.
O caso reforça um cenário cada vez mais preocupante na segurança digital: ferramentas antes restritas à espionagem internacional começam a migrar para o crime comum, reduzindo drasticamente a barreira técnica necessária para comprometer até dispositivos considerados altamente seguros, como o iPhone.
