Cinco cadeias completas de exploração combinam falhas em WebKit, escapes de sandbox, elevação de privilégio e desvios de mitigação para instalar o implante PLASMAGRID e roubar dados financeiros em dispositivos iOS desatualizados.
| Componente | Modelos de iPhone executando iOS 13.0 até iOS 17.2.1, com cadeias de exploração que passam por WebKit, desvios de PAC, escapes de sandbox, elevação de privilégio e desvio de PPL. |
| Vetor | Entrega por páginas comprometidas ou fraudulentas que injetam iFrame oculto, executam fingerprinting do dispositivo e carregam a cadeia adequada ao modelo de iPhone, chip e versão do iOS. |
| Impacto | Execução de código no contexto de navegação, transição para componentes privilegiados, injeção em powerd e implantação do stager PlasmaLoader/PLASMAGRID para coleta de dados financeiros, frases BIP39, imagens com QR code e módulos adicionais. |
| Prioridade | Atualizar iPhones para uma versão atual do iOS; quando isso não for possível, ativar o Modo de Bloqueio e caçar acesso a domínios de entrega, hashes de módulos e padrões JavaScript associados ao kit. |
| Versões | O kit cobre iOS 13.0 a iOS 17.2.1; a cadeia observada não é efetiva contra a versão mais recente do iOS informada no contexto. |
| Artefatos | Cadeias com exploits como CVE-2024-23222, CVE-2022-48503, CVE-2023-43000, CVE-2023-32409, CVE-2023-32434, CVE-2023-41974, CVE-2023-38606, CVE-2024-23225 e CVE-2024-23296, além de codenames como cassowary, Photon, Gallium, Sparrow e Rocket. |
| IoCs | Implante com.apple.assistd com SHA-256 2a9d21ca07244932939c6c58699448f2147992c1f49cd3bc7d067bd92cb54f3a; entrega observada em cdn.uacounter[.]com, 3v5w1km5gv[.]xyz e outros domínios fraudulentos relacionados a finanças e criptoativos. |
Coruna é um kit de exploração para iOS composto por cinco cadeias completas e 23 exploits destinados a iPhones com iOS 13.0 até iOS 17.2.1. A cadeia começa no navegador, seleciona rotas de execução conforme o fingerprint do aparelho e avança por etapas que incluem leitura e escrita em WebContent, desvio de PAC, escape de sandbox, elevação de privilégio e desvio de PPL. A combinação desses estágios permite sair de uma interação web inicial e chegar à execução de componentes que interagem com o núcleo e com processos privilegiados do sistema.
A mesma estrutura técnica apareceu em três contextos distintos ao longo de 2025: uso altamente direcionado por cliente de fornecedor de vigilância, campanha de watering hole contra usuários ucranianos atribuída a UNC6353 e posterior adoção em campanhas amplas por UNC6691, ator financeiramente motivado operando a partir da China. A forma como a capacidade mudou de mãos não está confirmada, mas a reutilização do mesmo framework, dos mesmos padrões de ofuscação e das mesmas cadeias indica circulação operacional de técnicas avançadas fora do operador original.
O estágio final observado não segue o perfil clássico de coleta ampla associado a ferramentas de vigilância. O payload instalado, rastreado como PLASMAGRID, direciona a coleta para dados financeiros e carteiras de criptoativos. Ele procura sequências compatíveis com BIP39, termos como backup phrase e bank account, conteúdo em Apple Memos, QR codes armazenados em imagens e dados extraídos por módulos específicos para aplicativos de carteira. Esse objetivo muda a prioridade de defesa: não se trata apenas de corrigir vulnerabilidades do navegador, mas de tratar dispositivos iOS desatualizados como superfície de roubo direto de ativos digitais.
A entrega começa em páginas comprometidas ou fraudulentas que carregam um iFrame oculto. No caso ucraniano, o domínio cdn.uacounter[.]com foi usado como ponto de distribuição em sites legítimos comprometidos, incluindo ambientes de comércio eletrônico, serviços locais, varejo e páginas ligadas a equipamentos industriais. Nas campanhas financeiras em chinês, os operadores publicaram sites falsos ligados a criptoativos e finanças, induzindo visitantes a abrir as páginas em dispositivos iOS. Quando o acesso parte de um iPhone, o framework JavaScript executa fingerprinting para validar se o alvo é real, identificar modelo, versão do iOS e condições de execução antes de escolher a cadeia compatível.
A camada JavaScript usa ofuscação simples, mas útil para hunting, com codificação de strings por construções como arrays seguidos de .map() e String.fromCharCode() com XOR. O framework também codifica inteiros, usa um cookie fixo para derivar URLs de recursos e referencia artefatos por hashes calculados no formato sha256(COOKIE + ID)[:40]. Essa lógica dificulta a enumeração direta dos recursos hospedados e permite entregar somente os blobs necessários para uma combinação específica de chip, modelo e versão.
Depois do fingerprinting, a cadeia carrega um exploit de execução remota no WebKit. Entre os RCEs observados estão CVE-2024-23222, associado ao codename cassowary, CVE-2022-48503, associado a jacurutu, e CVE-2023-43000, associado a terrorbird. O kit cobre ainda falhas sem CVE pública atribuída no contexto, como bluebird para WebContent e vários desvios de PAC, incluindo breezy, breezy15, seedbell, seedbell_16_6 e seedbell_17. Essa etapa não basta para controle total do dispositivo; ela cria a primeira execução controlada no contexto web e prepara a transição para carregadores binários.
Os payloads binários são servidos por URLs que terminam em .min.js, mas não são scripts JavaScript comuns. Eles carregam metadados sobre chips e versões suportadas, usam criptografia ChaCha20 com chave por blob, são empacotados em formato próprio iniciado por 0xf00dbeef e comprimidos com LZW. Após o RCE no WebKit, um loader seleciona a etapa posterior adequada. Em versões afetadas, isso pode incluir escape de sandbox por IronLoader ou NeuronLoader, elevação de privilégio por módulos como Neutron, Dynamo, Pendulum, Photon, Parallax e Gruber, além de desvio de PPL por Quark, Gallium, Carbone, Sparrow ou Rocket.
O último estágio instala o stager PlasmaLoader, identificado pelo bundle com.apple.assistd, e estabelece comunicação com o componente no núcleo resultante da cadeia de exploração. O loader injeta código em powerd, daemon executado como root no iOS. A partir desse ponto, o implante baixa configuração de caminho semelhante a /details/show.html, obtém módulos empacotados como arquivos 7-Zip protegidos por senha fixa e interpreta um JSON com bundleId, URL, hash, tamanho e flags de execução. O desenho permite acrescentar módulos sem trocar toda a cadeia de exploração.
A superfície afetada são iPhones que ainda executam versões entre iOS 13.0 e iOS 17.2.1 e que visitam páginas capazes de entregar o framework. O risco aumenta em ambientes onde usuários acessam sites externos por Safari ou WebViews e onde dispositivos pessoais têm acesso a mensagens, aplicativos financeiros, carteiras de criptoativos ou contas corporativas. O kit aborta a execução quando detecta Modo de Bloqueio ou navegação privada, o que torna esses dois estados relevantes para análise de exposição e também para explicar ausência de execução em alguns testes.
A matriz de exploração é ampla. Em WebContent, há cobertura para iOS 13 até 15.1.1 por buffout com CVE-2021-30952, 15.2 a 15.5 por jacurutu com CVE-2022-48503, 15.6 a 16.1.2 por bluebird, 16.2 a 16.5.1 por terrorbird com CVE-2023-43000 e 16.6 a 17.2.1 por cassowary com CVE-2024-23222. Para escape de sandbox, IronLoader cobre iOS 16.0 a 16.3.1 com CVE-2023-32409, enquanto NeuronLoader aparece para 16.4.0 a 16.6.1 em chips A13 a A16, sem CVE informada no contexto.
A etapa de elevação de privilégio inclui CVE-2020-27932 em Neutron, CVE-2020-27950 em Dynamo, CVE-2023-32434 em Photon, CVE-2023-41974 em Parallax e uma rota chamada Gruber para iOS 15.2 a 17.2.1 sem CVE indicada no material técnico. Para desvio de PPL, aparecem Gallium com CVE-2023-38606, Sparrow com CVE-2024-23225, Rocket com CVE-2024-23296, além de Quark e Carbone sem CVE informada. Alguns desses componentes exploram vulnerabilidades que também foram usadas como zero day em campanhas anteriores, o que reforça a necessidade de revisar dispositivos que ficaram muito tempo fora do ciclo de atualização.
O impacto pós-exploração se concentra em aplicativos de carteira e dados financeiros. Módulos foram observados para com.bitkeep.os, com.bitpie.wallet, coin98.crypto.finance.insights, org.toshi.distribution, exodus-movement.exodus, im.token.app, com.kyrd.krystal.ios, io.metamask.MetaMask, org.mytonwallet.app, app.phantom, com.skymavis.Genesis, com.solflare.mobile, com.global.wallet.ios, com.tonhub.app, com.jbig.tonkeeper, com.tronlink.hdwallet, com.sixdays.trust e com.uniswap.mobile. A presença desses bundle IDs em módulos de hook indica tentativa de interceptar dados sensíveis dentro dos processos dos aplicativos ou durante seu uso.
- iPhones com iOS 13.0 a 17.2.1 expostos a páginas comprometidas ou falsas que injetam
iFrameoculto. - Usuários de carteiras de criptoativos com apps correspondentes aos bundle IDs visados pelos módulos do
PLASMAGRID. - Ambientes onde dispositivos iOS desatualizados acessam e-mails, mensageria, links externos, carteiras digitais ou portais financeiros.
A caça deve combinar telemetria de proxy, DNS, EDR móvel quando disponível, MDM e logs de resolução externa. Em rede, procure acessos a domínios de entrega com caminhos como /static/analytics.html, /tuiliu/group.html, /details/group.html, /group.html, /gogo/list.html, /static/goindex/group.html e /88k4ez/group.html, especialmente quando o user-agent indicar Safari ou WebKit em iOS. O domínio cdn.uacounter[.]com com /stat.html é relevante para o conjunto associado a watering hole, enquanto os domínios financeiros falsos e .xyz são relevantes para a campanha ampla.
No lado de conteúdo, a ofuscação JavaScript pode ser rastreada por padrões de array numérico seguido de .map() e String.fromCharCode() com XOR, desde que a detecção exclua tráfego de bots e crawlers para reduzir ruído. O kit também entrega RCE e bypass de PAC sem criptografia, enquanto os blobs binários posteriores aparentam arquivos .min.js, têm cabeçalho 0xf00dbeef depois da decodificação, metadados de compatibilidade e compressão LZW. Em inspeção de artefatos recuperados, esses detalhes ajudam a separar bibliotecas web legítimas de payloads empacotados.
Para endpoints e análise forense em iOS, o foco deve estar nos sinais indiretos, porque o sistema limita visibilidade operacional. Indícios relevantes incluem comunicação HTTPS para domínios de C2 previsíveis com TLD .xyz, resolução por DNS público do Google para validar domínios gerados, requisições com cabeçalhos como sdkv e x-ts, downloads de módulos protegidos por 7-Zip e atividade associada ao identificador com.apple.assistd fora do comportamento esperado. A injeção em powerd é um ponto de alto valor para análise de imagem ou coleta especializada, quando o processo de resposta tiver capacidade para isso.
Os hashes informados devem ser usados para triagem de amostras, não como única estratégia de detecção. O implante com.apple.assistd tem SHA-256 2a9d21ca07244932939c6c58699448f2147992c1f49cd3bc7d067bd92cb54f3a. Entre os módulos, aparecem com.bitkeep.os com 6eafd742f58db21fbaf5fd7636e6653446df04b4a5c9bca9104e5dfad34f547c, io.metamask.MetaMask com 25a9b004cf61fb251c8d4024a8c7383a86cb30f60aa7d59ca53ce9460fcfb7de, app.phantom com 3c297829353778857edfeaed3ceeeca1bf8b60534f1979f7d442a0b03c56e541 e com.uniswap.mobile com 4dc255504a6c3ea8714ccdc95cc04138dc6c92130887274c8582b4a96ebab4a8. Como módulos podem ser reempacotados, a detecção por comportamento e infraestrutura continua necessária.
- Padrão JavaScript com
.map()eString.fromCharCode()usando XOR para reconstruir strings antes da exploração. - Acesso de iPhones a
cdn.uacounter[.]com/stat[.]html,3v5w1km5gv[.]xyz/group[.]html,ai-scorepredict[.]com/static/analytics[.]htmlou domínios similares ligados a páginas falsas de finanças e criptoativos. - Requisições HTTPS com cabeçalhos
sdkvoux-ts, resolução de domínios.xyzprevisíveis e uso de DNS público do Google por componentes suspeitos. - Artefatos contendo strings como
com.plasma.appruntime.downloadmanager,com.plasma.appruntime.netconfig,plasma_heartbeat_monitor,plasma_injection_dispatcherePLExploitationInterface.
A correção principal é remover a pré-condição de exploração: iPhones devem ser atualizados para uma versão atual do iOS. As cadeias descritas dependem de combinações específicas de versão, modelo e mitigação disponível; portanto, manter o dispositivo fora da faixa iOS 13.0 a 17.2.1 elimina a compatibilidade conhecida do kit. Para aparelhos que não podem ser atualizados de imediato, o Modo de Bloqueio deve ser habilitado, pois o framework observado aborta a execução quando essa condição está presente.
Organizações com MDM devem inventariar versões do iOS, bloquear ou isolar dispositivos sem atualização e correlacionar navegação móvel com domínios de entrega. Dispositivos de usuários de alto risco, como executivos, equipes financeiras, operadores de criptoativos, jornalistas, administradores de identidade e equipes com acesso a segredos, devem receber prioridade. Quando houver suspeita de acesso a um domínio de entrega a partir de iPhone vulnerável, trate o caso como possível comprometimento do dispositivo e não apenas como navegação em site malicioso.
A resposta deve incluir rotação de segredos acessados pelo dispositivo afetado, revisão de carteiras e contas financeiras, invalidação de sessões, troca de frases ou credenciais quando for operacionalmente seguro e verificação de transações não autorizadas. Para carteiras de criptoativos, a presença de busca por BIP39 e QR codes torna insuficiente apenas trocar senha de aplicativo; chaves, seeds e backups expostos precisam ser considerados comprometidos se estavam armazenados no aparelho ou em notas sincronizadas.
Na camada de rede, bloqueie domínios de entrega conhecidos e monitore variações de infraestrutura com TLD .xyz, caminhos recorrentes e páginas que simulam exchanges, airdrops, jogos ou serviços financeiros. Em ambientes corporativos, reforce política de abertura de links em dispositivos móveis e use navegação isolada quando o risco do usuário justificar. Para equipes de detecção, implemente regras YARA ou equivalentes baseadas em strings do PLASMAGRID e no codificador JavaScript, mas mantenha revisão para falsos positivos porque ofuscação por .map() e XOR pode aparecer em software benigno.
A validação pós-contenção deve confirmar versão do iOS, estado do Modo de Bloqueio quando aplicável, ausência de novas resoluções para C2, ausência de tráfego para domínios de entrega e inexistência de novas tentativas de autenticação financeira a partir do dispositivo. Quando a telemetria móvel for limitada, a decisão defensiva deve favorecer reinstalação, substituição do aparelho ou remoção de dados sensíveis do dispositivo suspeito, especialmente se houve exposição de carteiras, Apple Memos com termos financeiros ou imagens contendo QR codes de backup.
- Atualizar todos os iPhones afetáveis para uma versão atual do iOS e impedir acesso corporativo por dispositivos presos em iOS 13.0 a 17.2.1.
- Ativar o Modo de Bloqueio em aparelhos que não podem ser atualizados ou que pertençam a usuários de alto risco.
- Bloquear domínios e caminhos de entrega conhecidos, incluindo
cdn.uacounter[.]com/stat[.]htmle infraestrutura financeira falsa listada nos indicadores. - Caçar strings do
PLASMAGRID, hashes de módulos, padrões de DGA.xyz, cabeçalhossdkvex-tse blobs.min.jscom características de payload binário. - Rotacionar segredos, revisar contas financeiras e tratar frases BIP39, QR codes de carteira e notas com termos bancários como dados potencialmente expostos em casos confirmados.
0 Comentários