A ferramenta Coruna, ligada a ataques sofisticados contra iPhones, voltou ao centro das atenções após pesquisadores identificarem conexões técnicas diretas com a operação Triangulation, campanha de espionagem revelada em 2023.
A nova análise indica que o kit não desapareceu com o tempo: ele evoluiu e passou a sustentar ofensivas mais amplas contra usuários de iOS.
Segundo a Kaspersky, o exploit de kernel usado pelo Coruna para as falhas CVE-2023-32434 e CVE-2023-38606 é uma versão atualizada do mesmo código empregado em Triangulation. Os pesquisadores afirmam que não se trata de uma simples reutilização de exploits públicos, mas da continuidade do mesmo framework de exploração.
O kit já havia sido descrito pelo Google como uma estrutura poderosa, com cinco cadeias completas de exploração e 23 exploits, voltada a iPhones com versões do iOS 13.0 ao 17.2.1. A campanha mostra como ferramentas antes associadas a operações muito seletivas passaram a circular entre diferentes atores.
A infecção começa quando a vítima acessa um site comprometido no Safari. A partir daí, um componente inicial identifica o navegador e a versão do sistema para entregar a cadeia mais adequada, abrindo caminho para a exploração do kernel e a execução dos módulos seguintes.
Depois de baixar os componentes necessários, o Coruna executa exploits de kernel, loaders em formato Mach-O e um launcher responsável por iniciar a fase pós-exploração. Esse launcher também limpa rastros da intrusão, dificultando a análise forense e a identificação do comprometimento.
A nova pesquisa também mostra que o framework foi atualizado para dar suporte a chips mais recentes, como A17 e modelos da linha M3, além de checagens voltadas a builds mais novas do iOS. Isso reforça a avaliação de que a ferramenta continuou sendo mantida e adaptada ao longo do tempo.
