Pesquisadores de segurança descobriram uma série de ataques cibernéticos direcionados a clientes da Apple em todo o mundo. As ferramentas usadas nessas campanhas de hackers foram apelidadas Corunha e Espada Negrae têm sido usados tanto por espiões do governo quanto por cibercriminosos para roubar dados de iPhones e iPads de pessoas.
É raro ver hacks generalizados direcionados a usuários de iPhone e iPad. Na última década, os únicos precedentes foram os ataques contra muçulmanos uigures em Chinae contra pessoas em Hong Kong.
Agora, algumas dessas poderosas ferramentas de hacking vazou on-linepotencialmente colocando centenas de milhões de iPhones e iPads com software desatualizado em risco de roubo de dados.
Estamos detalhando o que sabemos e o que não sabemos sobre essas últimas ameaças de hackers para iPhone e iPad e o que você pode fazer para se manter protegido.
O que são Coruna e DarkSword?
Coruna e DarkSword são dois conjuntos de kits de ferramentas de hacking avançados, cada um contendo uma série de explorações capazes de invadir iPhones e iPads e roubar dados de uma pessoa, como mensagens, dados do navegador, histórico de localização e criptomoeda.
Os pesquisadores de segurança que descobriram os kits de ferramentas dizem que as explorações do Coruna podem hackear iPhones e iPads executando iOS 13 até iOS 17.2.1, lançado em dezembro de 2023.
DarkSword, no entanto, continha exploits capazes de hackear iPhones e iPads rodando dispositivos mais recentes rodando iOS 18.4 e 18.7, lançados em setembro de 2025, de acordo com pesquisadores de segurança do Google que estão investigando o código.
Mas a ameaça do DarkSword é mais imediata para o público em geral. Alguém vazou parte do DarkSword e publicou no site de compartilhamento de código GitHubtornando mais fácil para qualquer pessoa baixar o código malicioso e lançar seus próprios ataques contra usuários da Apple que executam versões mais antigas do iOS.
Como funcionam Coruna e DarkSword?
Esses tipos de ataques são, por definição, indiscriminados e perigosos, pois podem enredar qualquer pessoa que visite um determinado site que hospeda o código malicioso.
Contate-nos
Você tem mais informações sobre DarkSword, Coruna ou outras ferramentas governamentais de hacking e spyware? De um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou por e-mail.
Em alguns casos, as vítimas podem ser hackeadas simplesmente visitando um site legítimo sob o controle de hackers mal-intencionados.
Quando as vítimas são inicialmente infectadas, o Coruna e o DarkSword exploram várias vulnerabilidades no iOS que permitem que os hackers assumam virtualmente o controle total do dispositivo do alvo, permitindo-lhes roubar os dados privados da pessoa. Os dados são então enviados para um servidor web executado pelos hackers.
Pelo menos algumas partes do kit de ferramentas Coruna, como o TechCrunch relatou anteriormenteforam originalmente desenvolvidos pela Trenchant, uma unidade de hackers e spyware da empresa de defesa dos EUA L3Harris, que vende explorações ao governo dos EUA e seus principais aliados.
A Kaspersky também vinculou duas explorações no kit de ferramentas do Coruna a Operação Triangulaçãoum ataque cibernético complexo e provável liderado pelo governo, supostamente realizado contra usuários russos do iPhone.
Depois que Trenchant desenvolveu o Coruna – de alguma forma, não está claro como – essas explorações chegaram às mãos de espiões russos e cibercriminosos chineses, talvez através de um ou vários intermediários que vendem explorações no mercado clandestino.
As viagens de Coruna mostram mais uma vez que poderosas ferramentas de hacking, incluindo aquelas desenvolvidas para os EUA sob rígidas restrições de sigilo, podem vazar e proliferar fora de controle.
Um exemplo disso foi em 2017, quando um exploit desenvolvido pela Agência de Segurança Nacional dos EUA, que era capaz de invadir remotamente computadores Windows em todo o mundo, vazou online. A mesma exploração foi então usada em o ataque destrutivo do ransomware WannaCryqual hackeado indiscriminadamente centenas de milhares de computadores em todo o mundo.
No caso do DarkSword, os pesquisadores observaram ataques direcionados a usuários na China, Malásia, Turquia, Arábia Saudita e Ucrânia. Ainda não está claro quem desenvolveu originalmente o DarkSword, como ele acabou com diferentes grupos de hackers ou como as ferramentas vazaram online.
Não está claro quem vazou e publicou online no GitHub ou por que motivo.
As ferramentas de hacking, que o TechCrunch viu, são escritas nas linguagens HTML e JavaScript, tornando-as relativamente fáceis de configurar e auto-hospedar em qualquer lugar por qualquer pessoa que queira lançar ataques maliciosos. (O TechCrunch não está vinculado ao GitHub porque as ferramentas podem ser usadas em ataques maliciosos.) Pesquisadores postando no X já testaram as ferramentas vazadas invadindo seus próprios dispositivos Apple que executam versões vulneráveis do software da empresa.
DarkSword agora é “essencialmente plug-and-play”, como explicou Justin Albrecht, principal pesquisador da empresa de segurança móvel Lookout, ao TechCrunch.
O GitHub disse ao TechCrunch que não retirou o código vazado, mas o preservará para pesquisas de segurança.
“As políticas de uso aceitável do GitHub proíbem a postagem de conteúdo que apoie diretamente ataques ativos ilegais ou campanhas de malware que estão causando danos técnicos”, disse Jesse Geraci, conselheiro de segurança online do GitHub, ao TechCrunch. “No entanto, não proibimos a publicação de código-fonte que possa ser usado para desenvolver malware ou explorações, pois a publicação e distribuição de tal código-fonte tem valor educacional e proporciona um benefício líquido para a comunidade de segurança.”
Meu iPhone ou iPad é vulnerável ao DarkSword?
Se você possui um iPhone ou iPad que não está atualizado, considere atualizar imediatamente.
A Apple disse ao TechCrunch que os usuários que executam as versões mais recentes do iOS 15 ao iOS 26 já estão protegidos.
De acordo com iVerificar: “Recomendamos fortemente a atualização para iOS 18.7.6 ou iOS 26.3.1. Isso mitigará todas as vulnerabilidades que foram exploradas nessas cadeias de ataque.”
De acordo com As próprias estatísticas da Applequase um em cada três usuários de iPhone e iPad ainda não executa o software iOS 26 mais recente. Isso significa que existem potencialmente centenas de milhões de dispositivos vulneráveis a essas ferramentas de hacking, já que a Apple apregoa mais de 2,5 bilhões dispositivos ativos em todo o mundo.
E se eu não puder ou não quiser atualizar para o iOS 26?
A Apple também disse que os dispositivos que executam o modo Lockdown, um recurso de segurança extra opcional introduzido pela primeira vez no iOS 16também bloqueia esses ataques específicos.
O Modo Lockdown é útil para jornalistas, dissidentes, ativistas de direitos humanos e qualquer pessoa que pense que pode ser alvo de quem é ou do trabalho que realiza.
Durante o modo de bloqueio não é perfeitonão houve nenhuma evidência pública de que os hackers tenham conseguido, até o momento, contornar suas proteções. (Perguntamos à Apple se essa afirmação ainda é verdadeira e atualizaremos se recebermos uma resposta.) O modo de bloqueio era descobriu-se que impediu pelo menos uma tentativa de instalar spyware no telefone de um defensor dos direitos humanos.
