Coruna também é notável por ser usado por três grupos de hackers distintos. O Google detectou seu uso pela primeira vez em fevereiro do ano passado, em uma operação conduzida por um “cliente de um fornecedor de vigilância”. A vulnerabilidade explorada, rastreada como CVE-2025-23222, foi corrigida 13 meses antes. Em Julho de 2025, um “suspeito grupo de espionagem russo” explorou o CVE-2023-43000 em ataques plantados em websites frequentados por alvos ucranianos. Em dezembro passado, quando foi usado por um “ator de ameaça com motivação financeira da China”, o Google conseguiu recuperar o kit de exploração completo.
“Não está claro como essa proliferação ocorreu, mas sugere um mercado ativo para explorações de dia zero ‘de segunda mão’”, escreveu o Google. “Além dessas explorações identificadas, vários atores de ameaças adquiriram agora técnicas avançadas de exploração que podem ser reutilizadas e modificadas com vulnerabilidades recentemente identificadas.”
Os pesquisadores do Google escreveram:
Recuperamos todas as explorações ofuscadas, incluindo o encerramento de cargas úteis. Após uma análise mais aprofundada, notamos um caso em que o ator implantou a versão de depuração do kit de exploração, deixando claras todas as explorações, incluindo seus nomes de código internos. Foi quando soubemos que o kit de exploração provavelmente se chamava Coruna internamente. No total, coletamos algumas centenas de amostras cobrindo um total de cinco cadeias completas de exploração do iOS. O kit de exploração é capaz de atingir vários modelos de iPhone que executam a versão 13.0 do iOS (lançada em setembro de 2019) até a versão 17.2.1 (lançada em dezembro de 2023).
As 23 explorações, juntamente com os codinomes e outras informações, são:
| Tipo | Codinome | Versões direcionadas (inclusive) | Versões fixas | CVE |
| WebContent R/W | penalidade | 13 → 15.1.1 | 15.2 | CVE-2021-30952 |
| WebContent R/W | jacuruto | 15,2 → 15,5 | 15.6 | CVE-2022-48503 |
| WebContent R/W | pássaro azul | 15.6 → 16.1.2 | 16.2 | Sem CVE |
| WebContent R/W | pássaro do terror | 16.2 → 16.5.1 | 16.6 | CVE-2023-43000 |
| WebContent R/W | casuar | 16.6 → 17.2.1 | 16.7.5, 17.3 | CVE-2024-23222 |
| Ignorar WebContent PAC | alegre | 13 → 14.x | ? | Sem CVE |
| Ignorar WebContent PAC | alegre15 | 15 → 16,2 | ? | Sem CVE |
| Ignorar WebContent PAC | campainha | 16.3 → 16.5.1 | ? | Sem CVE |
| Ignorar WebContent PAC | semente_16_6 | 16.6 → 16.7.12 | ? | Sem CVE |
| Ignorar WebContent PAC | semente_17 | 17 → 17.2.1 | ? | Sem CVE |
| Escape da caixa de areia WebContent | Carregador de Ferro | 16.0 → 16.3.116.4.0 (<= A12) | 15.7.8, 16.5 | CVE-2023-32409 |
| Escape da caixa de areia WebContent | Neuron Loader | 16.4.0 → 16.6.1 (A13-A16) | 17,0 | Sem CVE |
| Educação Física | Nêutron | 13.X | 14.2 | CVE-2020-27932 |
| PE (folhas informativas) | Dínamo | 13.X | 14.2 | CVE-2020-27950 |
| Educação Física | Pêndulo | 14 → 14.4.x | 14,7 | Sem CVE |
| Educação Física | Fóton | 14.5 → 15.7.6 | 15.7.7, 16.5.1 | CVE-2023-32434 |
| Educação Física | Paralaxe | 16,4 → 16,7 | 17,0 | CVE-2023-41974 |
| Educação Física | Gruber | 15.2 → 17.2.1 | 16.7.6, 17.3 | Sem CVE |
| Desvio de PPL | Quark | 13.X | 14,5 | Sem CVE |
| Desvio de PPL | Gálio | 14.x | 15.7.8, 16.6 | CVE-2023-38606 |
| Desvio de PPL | Carbono | 15,0 → 16.7.6 | 17,0 | Sem CVE |
| Desvio de PPL | Pardal | 17,0 → 17,3 | 16.7.617,4 | CVE-2024-23225 |
| Desvio de PPL | Foguete | 17,1 → 17,4 | 16.7.8, 17.5 | CVE-2024-23296 |
A CISA está adicionando apenas três CVEs ao seu catálogo. Eles são:
- CVE-2021-30952 Vulnerabilidade de estouro de número inteiro ou wraparound de vários produtos da Apple
- CVE-2023-41974 Vulnerabilidade de uso após liberação do Apple iOS e iPadOS
- CVE-2023-43000 Vulnerabilidade de uso após liberação de vários produtos da Apple
A CISA está orientando as agências a “aplicar mitigações de acordo com as instruções do fornecedor, seguir… as orientações aplicáveis para serviços em nuvem ou descontinuar o uso do produto se as mitigações não estiverem disponíveis”. A agência alertou ainda: “Esses tipos de vulnerabilidades são vetores de ataque frequentes para ciberatores mal-intencionados e representam riscos significativos para a empresa federal”.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.