Google dijo que identificó un kit de exploits «nuevo y poderoso» denominado Coruña (también conocido como CryptoWaters) dirigido a modelos de iPhone de Apple con versiones de iOS entre la 13.0 y la 17.2.1.

El kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits, según Google Threat Intelligence Group (GTIG). No es efectivo contra la versión más reciente de iOS. Los hallazgos fueron reportado por primera vez de WIRED.

«El principal valor técnico de este kit de exploits reside en su completa colección de exploits de iOS, y los más avanzados utilizan técnicas de explotación no públicas y elusiones de mitigación». según a GTIG. «El marco que rodea al kit de exploits está muy bien diseñado; todos los componentes del exploit se conectan de forma natural y se combinan entre sí mediante marcos de explotación y utilidades comunes».

Se dice que el kit circuló entre múltiples actores de amenazas desde febrero de 2025, pasando de ser una operación de vigilancia comercial a un atacante respaldado por el gobierno y, finalmente, a un actor de amenazas con motivos financieros que operaba desde China en diciembre.

Actualmente no se sabe cómo el kit de exploits cambió de manos, pero los hallazgos apuntan a un mercado activo de exploits de día cero de segunda mano, lo que permite a otros actores de amenazas reutilizarlos para sus propios objetivos. En un informe relacionado, iVerify dijo el kit de exploits tiene similitudes con los marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de los EE. UU.

«Coruña es uno de los ejemplos más significativos que hemos observado de cómo proliferan sofisticadas capacidades de tipo spyware, que pasan de proveedores de vigilancia comercial a manos de actores estatales y, en última instancia, a operaciones delictivas a gran escala», iVerify dijo .

adsense

El proveedor de seguridad móvil dijo que el uso del sofisticado marco de exploits marca la primera explotación masiva observada contra dispositivos iOS, lo que indica que los ataques de spyware están pasando de ser muy selectivos a tener un despliegue amplio.

Google dijo que capturó por primera vez partes de una cadena de exploits de iOS utilizada por un cliente de una empresa de vigilancia anónima a principios del año pasado, con los exploits integrados en un marco de JavaScript nunca antes visto. El marco está diseñado para tomar las huellas dactilares del dispositivo para determinar si es real y recopilar detalles, incluidos el modelo específico de iPhone y la versión de software iOS que utiliza.

A continuación, el marco carga el exploit de ejecución remota de código (RCE) de WebKit apropiado en función de los datos de las huellas dactilares, y luego ejecuta una omisión del código de autenticación por puntero (PAC). El exploit en cuestión se refiere a CVE-2024-23222 , un error de confusión de tipos en WebKit que Apple corrigió en enero de 2024 con iOS 17.3 y iPadOS 17.3 e iOS 16.7.5 y iPadOS 16.7.5.

Avanzando rápidamente hasta julio de 2025, se detectó el mismo marco de JavaScript en el dominio «cdn.uacounter [.] com», que se cargaba como un iFrame oculto en sitios web ucranianos comprometidos. Esto incluía sitios web relacionados con equipos industriales, herramientas de venta minorista, servicios locales y comercio electrónico. Se estima que detrás de la campaña está un presunto grupo de espionaje ruso llamado UNC6353.

Lo interesante de la actividad fue que el marco se entregó solo a ciertos usuarios de iPhone desde una geolocalización específica. Los exploits utilizados como parte del marco consistían en el CVE-2024-23222, CVE-92248503 , y CVE-2023-43000 , el último de los cuales es un defecto de uso posterior en WebKit.

Vale la pena señalar que Apple abordó el CVE-2023-43000 en iOS 16.6 y iPadOS 16.6, lanzados en julio de 2023. Sin embargo, las notas de la versión de seguridad no se actualizaron para incluir una entrada sobre la vulnerabilidad hasta el 11 de noviembre de 2025.

La tercera vez que se detectó el marco de JavaScript en estado salvaje fue en diciembre de 2025. Se descubrió que un grupo de sitios web chinos falsos, la mayoría de ellos relacionados con el sector financiero, eliminaban el kit de exploits de iOS tras dar instrucciones a los usuarios para que los visitaran desde un iPhone o iPad para disfrutar de una mejor experiencia de usuario. La actividad se atribuye a un grupo de amenazas registrado como UNC6691.

Una vez que se accede a estos sitios web a través de un dispositivo iOS, se inyecta un iFrame oculto para entregar el kit de exploits Coruna que contiene el CVE-2024-23222. La distribución del exploit, en este caso, no estaba limitada por ningún criterio de geolocalización.

Un análisis más detallado de la infraestructura del actor de amenazas llevó al descubrimiento de una versión de depuración del kit de exploits, junto con varios ejemplos que abarcan cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 vulnerabilidades que abarcan versiones que van desde iOS 13 a iOS 17.2.1.

A continuación se enumeran algunos de los CVE explotados por el kit y las versiones de iOS correspondientes a las que apuntaban:

«Photon y Gallium están explotando vulnerabilidades que también se utilizaron como días cero como parte de Operación Triangulación », dijo Google. «El kit de exploits Coruna también incorpora módulos reutilizables para facilitar la explotación de las vulnerabilidades antes mencionadas».

enlaces

En junio de 2023, el gobierno ruso reclamado la campaña fue obra de la Agencia de Seguridad Nacional de los Estados Unidos, acusándola de hackear «varios miles» de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de una «operación de reconocimiento».

Se ha observado que UNC6691 utiliza el exploit como arma para ofrecer un binario intermedio con el nombre en código PlasmaLoader (también conocido como PLASMAGRID) que está diseñado para decodificar los códigos QR de las imágenes y ejecutar módulos adicionales recuperados de un servidor externo, lo que le permite filtrar carteras de criptomonedas o información confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask, entre otras.

«El implante contiene una lista de C2 codificados de forma rígida, pero tiene un mecanismo alternativo en caso de que los servidores no respondan», añadió GTIG. «El implante incorpora un algoritmo de generación de dominios (DGA) personalizado que utiliza la cadena «lazarus» como semilla para generar una lista de dominios predecibles. Los dominios tendrán 15 caracteres y usarán .xyz como TLD. Los atacantes utilizan el solucionador de DNS público de Google para validar si los dominios están activos».

Un aspecto destacable de A Coruña es que omite la ejecución en dispositivos en Modo de bloqueo , o si el usuario navega de forma privada. Para contrarrestar la amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mejorar la seguridad.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.