Pesquisadores de segurança do Google divulgaram um relatório que descreve um kit de ferramentas de hacking para iPhone, chamado Coruna, que inclui cinco técnicas capazes de contornar todas as defesas de celulares da Apple.No total, o Coruna aproveita 23 vulnerabilidades distintas no iOS, uma coleção rara de componentes de hacking que sugere que ele foi criado por um grupo de hackers com muitos recursos – provavelmente patrocinado por um país.De ferramenta de espionagem a arma do crimeDe acordo com a pesquisa da big tech, as técnicas ligadas ao Coruna foram identificadas em fevereiro de 2025 e atribuídas a um cliente de uma empresa de vigilância não identificada.No entanto, meses depois, uma versão mais completa do kit foi descoberta. Ela foi relacionada a um grupo de espionagem russo, que escondeu o código de hacking em um componente comum de contagem de visitantes de sites ucranianos.Em outro momento, o Google detectou o Coruna em uso mais uma vez no que parece ter sido uma campanha de hacking puramente focada no lucro, infectando sites de criptomoedas e jogos de azar em chinês para entregar um malware que rouba criptomoedas das vítimas.As pistas que apontam para os Estados UnidosA empresa de segurança móvel iVerify, que também analisou uma versão do Coruna obtida em um dos sites chineses infectados, sugere que o código pode, na verdade, ter começado como um kit de hacking criado ou adquirido pelo governo dos Estados Unidos. O Google e a iVerify observam que o Coruna contém vários componentes já vistos anteriormente na chamada "Operação Triangulação", uma campanha de espionagem descoberta em 2023 que teve como alvo a empresa russa de cibersegurança Kaspersky. O governo russo atribuiu a operação à NSA americana, alegação que o governo dos Estados Unidos nunca respondeu.Outro indício que aponta para uma origem americana é o fato de o código do Coruna aparentar ter sido escrito originalmente por programadores de língua inglesa. Ao Wired, Rocky Cole, cofundador da iVerify e ex-funcionário da NSA, afirma que o kit é altamente sofisticado, custou milhões de dólares para ser desenvolvido e carrega as marcas registradas de outros módulos publicamente atribuídos ao governo dos EUA. Para Cole, este seria o primeiro exemplo documentado de ferramentas muito provavelmente americanas saindo do controle e sendo usadas tanto por adversários quanto por grupos de cibercriminosos.Um kit profissional nas mãos erradasIndependentemente de quem criou o Coruna, o Google alerta que um kit de ferramentas tão valioso e raro parece ter passado por uma série de mãos improváveis e agora existe em estado selvagem, onde ainda pode ser adotado ou adaptado por qualquer grupo de hackers interessado em atacar usuários de iPhone. No relatório, a empresa afirma que não está claro como essa proliferação ocorreu, mas que ela sugere a existência de um mercado ativo para exploits zero-day de segunda mão, e que vários agentes de ameaças já adquiriram técnicas avançadas de exploração que podem ser reutilizadas e modificadas com novas vulnerabilidades.Roubo de criptomoedas, fotos e até e-mailsNa análise da versão obtida em um dos sites chineses infectados, a iVerify identificou que o código havia sido alterado para instalar malware capaz de drenar criptomoedas de carteiras digitais, roubar fotos e, em alguns casos, e-mails. Essas adições, porém, eram visivelmente mais rudimentares do que o kit original. Spencer Parker, diretor de produtos da iVerify, descreveu o Coruna subjacente como impressionantemente refinado e modular, e concluiu que o malware mais grosseiro foi acrescentado pelos cibercriminosos que posteriormente obtiveram o código.Sobre a possibilidade de o Coruna ter sido montado a partir de fragmentos da Operação Triangulação recolhidos após sua descoberta, Cole considera o cenário improvável. Muitos componentes do kit nunca foram vistos antes, e toda a estrutura parece ter sido criada por um único autor, como se tivesse sido escrita como um todo, e não remendada a partir de pedaços.Quanto a como o kit teria chegado às mãos de criminosos e estrangeiros, Cole aponta para a indústria de corretores de zero-day, que podem pagar dezenas de milhões de dólares por técnicas de hacking para revendê-las a governos, grupos de espionagem ou cibercriminosos.