O kit de espionagem que escapou do governo e agora rouba criptomoedas

Neste exato momento, um site que você pode visitar amanhã está silenciosamente sondando seu iPhone, verificando a versão do iOS, confirmando que o Modo de Bloqueio está desativado e preparando a entrega de um entre 23 exploits projetados para invadir seu aparelho por completo. Sem toque. Sem link suspeito. Apenas uma página da web.

O kit que nunca deveria ter saído do cofre

Pesquisadores do Google Threat Intelligence Group e da empresa de segurança móvel iVerify confirmaram, de forma independente, a existência do Coruna: um kit de invasão de iPhones de grau militar contendo cinco cadeias completas de exploits e 23 vulnerabilidades distintas. O alvo são todos os iPhones rodando iOS 13 até 17.2.1, o que abrange modelos lançados entre setembro de 2019 e dezembro de 2023.

O código foi escrito em inglês nativo, com documentação extensa e comentários internos que parecem um manual de desenvolvedor. A engenharia reversa da iVerify concluiu que o kit "parece ter sido construído sobre as mesmas bases de ferramentas de hacking conhecidas do governo americano". Ele compartilha módulos com a Operação Triangulação, a campanha de 2023 que a Rússia atribuiu à NSA após ser usada contra pesquisadores da Kaspersky. Construir algo assim custa milhões. A ferramenta nunca foi feita para circular publicamente.

De espionagem estatal a roubo de criptomoedas: como armas digitais viraram produto de prateleira

O Google rastreou a migração do Coruna em três fases distintas. Em fevereiro de 2025, o kit apareceu nas mãos de um cliente de uma empresa de vigilância, numa operação de inteligência governamental convencional. Em julho de 2025, surgiu em ataques do tipo "watering hole" contra sites ucranianos, embutido como iFrames ocultos pelo grupo UNC6353, ligado à espionagem russa. O código era servido de forma seletiva: apenas iPhones de geolocalizações específicas recebiam o payload.

Então algo mudou. Em dezembro de 2025, o Coruna apareceu em sites falsos de criptomoedas e apostas chineses. O payload havia sido completamente reescrito. Em vez de implantes de vigilância, o binário agora vasculhava os telefones das vítimas em busca de carteiras cripto como Metamask e BitKeep, caçava palavras-chave como "frase de recuperação" e "conta bancária", e extraía seeds de recuperação e credenciais de corretoras.

O resultado: 42 mil iPhones comprometidos, um número que a iVerify classificou como "massivo" para iOS. É o primeiro caso documentado de um grupo criminoso usando ferramentas de nível estatal para roubo financeiro em massa em dispositivos móveis.

A economia paralela de exploits que ninguém discute

Como um kit construído para um contratado do governo americano acabou nas mãos de espiões russos e ladrões de criptomoedas chineses? O relatório do Google é direto: a resposta permanece incerta, mas o padrão "sugere um mercado ativo de exploits zero-day de segunda mão".

O caso não é isolado. O último relatório de ameaças do Google identificou 90 vulnerabilidades zero-day exploradas em 2025, contra 78 no ano anterior. Pela primeira vez, fornecedores comerciais de vigilância foram responsáveis por mais exploração atribuída de zero-days do que grupos estatais tradicionais, explorando diretamente 15 vulnerabilidades. A cadeia de suprimentos de armas digitais está se globalizando, e os compradores já não são apenas governos.

Os CVEs específicos do Coruna contam a história: CVE-2024-23222, uma falha no WebKit corrigida no início de 2024; CVE-2022-48503, adicionada ao catálogo de vulnerabilidades exploradas da CISA em outubro de 2025; e CVE-2023-38606, um dos exploits da Operação Triangulação de 2023. Vulnerabilidades antigas, ainda letais em aparelhos desatualizados.

O que isso significa para o seu iPhone agora

O Coruna evita especificamente duas coisas: aparelhos com a versão mais recente do iOS e aparelhos com o Modo de Bloqueio ativado. O framework JavaScript oculto verifica ambas as condições antes de acionar qualquer exploit. Se uma delas for atendida, ele aborta silenciosamente.

Sua defesa é simples, porém urgente. Atualize seu iPhone para a versão mais recente do iOS imediatamente. Cada aparelho rodando iOS 17.2.1 ou anterior é um alvo em potencial. Ative o Modo de Bloqueio se você lida com dados financeiros sensíveis ou viaja para regiões de risco elevado. E reconheça que a velha suposição de que "iPhones não são hackeados" morreu no momento em que as armas de um governo entraram no varejo.

Os 42 mil aparelhos já comprometidos foram atingidos ao visitar uma única página da web. A próxima onda de ataques usando essas ferramentas não é uma questão de "se", mas de "qual site".