Primero la utilizan los servicios secretos y luego los estafadores roban criptomonedas: el ciclo de vida de la nueva vulnerabilidad de iOS
Google descubre "Coruna", una herramienta para el hackeo masivo de iPhones.
Especialistas de Google descubrieron un potente conjunto de vulnerabilidades para hackear iPhone, que durante varios años pasó de mano en mano entre distintos grupos de atacantes. La herramienta llamada Coruna se utilizó al principio en operaciones puntuales de vigilancia, luego se empleó en ataques de espionaje contra usuarios en Ucrania, y más tarde ese mismo conjunto llegó a manos de estafadores chinos.
El equipo Google Threat Intelligence Group analizó Coruna y encontró en el conjunto cinco cadenas completas de explotación y 23 vulnerabilidades individuales para iOS. El conjunto ataca iPhone con versiones del sistema desde iOS 13, lanzado en septiembre de 2019, hasta iOS 17.2.1, publicado en diciembre de 2023. Algunos métodos de evasión de protección no se habían publicado antes y permiten eludir los mecanismos de seguridad integrados de iOS.
La historia de Coruna resultó inusual. En febrero de 2025, los especialistas interceptaron parte de una cadena de ataque que utilizaba un cliente de una empresa comercial que vende sistemas de vigilancia. El código malicioso funcionaba a través de un complejo framework JavaScript con una ofuscación inusual. El script primero recopilaba información sobre el dispositivo: comprobaba si el teléfono era auténtico, determinaba el modelo de iPhone y la versión de iOS. Luego el servidor enviaba la vulnerabilidad adecuada para el motor WebKit y el mecanismo de evasión Pointer Authentication Code.
Uno de esos exploits usaba la vulnerabilidad CVE-2024-23222. Apple solucionó el problema en enero de 2024 con el lanzamiento de iOS 17.3.
Unos meses después el mismo framework apareció en otra campaña. En el verano de 2025, los atacantes implantaron el código en decenas de sitios ucranianos comprometidos. Entre los recursos infectados había sitios de tiendas, empresas de servicios y plataformas en línea. Las páginas cargaban de forma discreta un iframe oculto que entregaba los exploits solo a usuarios de iPhone seleccionados en determinadas regiones. La campaña se vinculó con el grupo UNC6353, que se relaciona con el ciberespionaje ruso. Tras el hallazgo, los especialistas notificaron al equipo gubernamental ucraniano de respuesta CERT-UA y ayudaron a limpiar los sitios infectados.
Hacia finales de 2025 el conjunto Coruna volvió a aparecer en la red, pero ya en una campaña completamente distinta. Esta vez el código malicioso se difundió a través de cientos de sitios chinos falsos relacionados con finanzas y criptomonedas. Las páginas fraudulentas convencían a los visitantes de abrir el sitio desde un iPhone. Tras acceder, la página insertaba de forma discreta un iframe oculto que ejecutaba el mismo conjunto de exploits.
En uno de los casos los atacantes desplegaron por error una versión de depuración del kit. En el código quedaron los nombres de los módulos y de los componentes internos. Gracias a ese error los especialistas supieron el nombre interno del conjunto: Coruna. El análisis de varios centenares de muestras permitió reconstruir cinco cadenas completas de ataques.
El conjunto está bastante elaborado. El script deja de funcionar si el teléfono ha activado el modo de protección reforzada Lockdown Mode o si el usuario abrió el sitio en modo privado. Para la carga de componentes se usa una etiqueta de cookie especial y el cálculo de direcciones mediante el hash SHA-256. Tras la ejecución exitosa de la vulnerabilidad de WebKit se lanza un cargador binario que selecciona la cadena de ataque adecuada para el dispositivo concreto. La carga útil se almacena cifrada y se camufla como archivos JavaScript.
Tras obtener el control total del dispositivo se ejecuta el cargador PlasmaLoader. El componente se inyecta en el proceso del sistema powerd, que funciona con privilegios de administrador. La actividad posterior mostró que el objetivo final de los ataques no es la vigilancia, sino el robo de datos financieros.
El módulo malicioso busca en el dispositivo imágenes con códigos QR y también analiza archivos de texto. El programa intenta encontrar frases de recuperación BIP39 o palabras clave como frase de copia de seguridad y cuenta bancaria. Si esos datos se detectan en las notas de Apple, el código malicioso envía la información al servidor de control.
Además, el programa puede descargar módulos adicionales. Cada módulo intercepta el funcionamiento de aplicaciones populares de criptomonedas, entre las que se encuentran MetaMask, Trust Wallet, Exodus, Phantom y otras carteras. Los registros de operación de los módulos están escritos en chino, lo que indirectamente señala el posible origen de los operadores.
Según las observaciones de Google, Coruna demuestra cómo herramientas complejas de intrusión se propagan gradualmente entre distintos grupos. El conjunto de vulnerabilidades se usó primero en operaciones de vigilancia, luego en ciberespionaje y más tarde la misma herramienta terminó en manos de estafadores financieros. Esta cadena sugiere la existencia de un mercado en la sombra donde se venden o revenden vulnerabilidades de día cero costosas.
El conjunto Coruna no funciona en las versiones más recientes de iOS. Se recomienda a los propietarios de iPhone instalar la actualización del sistema vigente. Si no es posible actualizar, los desarrolladores aconsejan activar el modo Lockdown, que limita de forma considerable las capacidades de los ataques.