Coruna: a evolução da Operation Triangulation em dispositivos iPhone

27 Mar 2026 · Mobile 1 Comentário

A equipa Global Research and Analysis Team (GReAT) da Kaspersky realizou uma análise ao código do exploit kit Coruna, confirmando que se trata de uma evolução direta do framework utilizado, pelo menos parcialmente, na campanha de ciberespionagem Operation Triangulation.

Operation Triangulation é uma campanha de ameaças persistentes avançadas (APT)

Os especialistas concluem que os exploits de kernel presentes em ambos os casos foram desenvolvidos pelo mesmo autor.

A Operation Triangulation é uma campanha de ameaças persistentes avançadas (APT) direcionada a dispositivos iOS, revelada pela Kaspersky em junho de 2023. A Kaspersky detetou esta atividade ao analisar o tráfego da sua própria rede Wi-Fi corporativa, onde os cibercriminosos estavam a atacar os dispositivos de vários colaboradores.

Nesta campanha, foram identificadas quatro vulnerabilidades de dia zero que afetavam uma vasta gama de produtos da Apple.

A análise revela que um dos cinco exploits de kernel (técnica que permite aos cibercriminosos explorar falhas no núcleo do sistema operativo para obter controlo total do dispositivo) incluídos no Coruna é uma versão atualizada do mesmo exploit identificado pela Kaspersky, no decorrer da investigação à Operation Triangulation, realizada em 2023.

Os outros quatro, incluindo dois desenvolvidos após a divulgação pública da campanha, baseiam-se no mesmo framework de exploração.

As semelhanças no código vão além dos exploits de kernel e estendem-se a outros componentes do kit, o que confirma que o Coruna não é uma simples compilação de ferramentas independentes, mas sim uma evolução contínua e sustentada do framework original. Compatibilidade com hardware e versões recentes de iOS

O código analisado inclui suporte para os processadores Apple A17, M3, M3 Pro e M3 Max, bem como referências a versões de iOS até à 17.2, todas lançadas no final de 2023. Além disso, incorpora uma verificação específica para o iOS 16.5 beta 4, a versão que a Apple disponibilizou para corrigir as vulnerabilidades anteriormente reportadas pela Kaspersky.

Quando o Coruna foi detetado pela primeira vez, não havia evidência pública suficiente para associar o seu código à Operation Triangulation, uma vez que a partilha de vulnerabilidades não implica necessariamente uma origem comum. No entanto, após a análise dos binários, o cenário é diferente.

O Coruna não é um conjunto de exploits públicos, mas sim uma evolução contínua do framework original. A inclusão de suporte para processadores recentes como o M3 e versões atuais de iOS demonstra que os seus desenvolvedores continuam ativos.

O que começou como uma ferramenta de ciberespionagem altamente direcionada está agora a ser utilizada de forma muito mais alargada

explica Boris Larin, Investigador Sénior de Segurança, Kaspersky GReAT.

A Kaspersky recomenda a todos os utilizadores de iPhone que instalem as mais recentes atualizações de iOS o mais rapidamente possível. Embora a Apple já tenha corrigido as vulnerabilidades exploradas pelo Coruna, os dispositivos que não estejam atualizados continuam em risco.

Para reduzir a exposição a ciberataques direcionados, os analistas da Kaspersky recomendam:

Centralizar a monitorização de eventos em toda a infraestrutura através de soluções SIEM, que proporcionem visibilidade completa e reforcem a capacidade de deteção.
Manter o sistema operativo, as aplicações e as soluções de segurança atualizados para corrigir vulnerabilidades conhecidas.
Garantir à equipa de cibersegurança uma visibilidade aprofundada sobre as ameaças através de serviços de inteligência de ameaças. A versão mais recente do Kaspersky Threat Intelligence disponibiliza informação detalhada e relevante ao longo de todo o ciclo de gestão de incidentes, ajudando a identificar rapidamente ciberriscos.
Reforçar a formação da equipa para enfrentar ameaças avançadas.
Implementar uma proteção robusta dos endpoints e desenvolver capacidades de resposta a incidentes. As soluções da linha Kaspersky Next, graças às suas funcionalidades essenciais de EDR, controlos avançados, gestão de patches e segurança na cloud, oferecem visibilidade sobre ameaças, investigação orientada e resposta, ajudando as organizações a mitigar rapidamente ataques sofisticados com um consumo mínimo de recursos.

A análise técnica completa está disponível em Securelist.com.

Global Research & Analysis Team

Fundada em 2008, a Global Research and Analysis Team (GReAT) é a equipa internacional de investigação de ameaças da Kaspersky. Os seus especialistas investigam campanhas de ciberespionagem, ameaças persistentes avançadas, ransomware e tendências do cibercrime a nível global. Atualmente, conta com mais de 35 especialistas distribuídos pela Europa, Rússia, América Latina, Ásia e Médio Oriente.

Comentários1

vasco says:

28 de Março de 2026 às 16:32

O iOS e o MacOS de seguros têm muito pouco.
Mas a malta come toda a palha que lhes é apresentada sobre a “incrível segurança” da Apple.
Desde várias alterações ao kernel, software “inexistente” a correr por trás e a enviar tudo para servidores “fantasma”, até às múltiplas backdoors para acesso.

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.