Google anunció que ha identificado un kit de explotación «nuevo y poderoso» llamado Coruna (también conocido como CryptoWaters) dirigido a los modelos de iPhone de Apple que ejecutan las versiones de iOS 13.0 a 17.2.1.
Según Google Threat Intelligence Group (GTIG), el kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits. No tiene ningún efecto en las últimas versiones de iOS. Los hallazgos fueron reportados por primera vez por WIRED.
Según GTIG, «El valor técnico principal de este kit de exploits radica en su colección completa de exploits para iOS, los más avanzados de los cuales utilizan técnicas privadas de exploits y omisiones de mitigación». «El marco que rodea el kit de exploits está muy bien diseñado. Todas las partes del exploit están conectadas y combinadas de forma natural mediante utilidades y marcos de exploits comunes».
Se dice que el kit ha circulado entre múltiples actores de amenazas desde febrero de 2025, pasando de operaciones de vigilancia comercial a actores patrocinados por el gobierno y, finalmente, a actores con motivación financiera con sede en China en diciembre.
Aunque actualmente se desconoce cómo los kits de exploits terminaron en manos de los atacantes, nuestros hallazgos indican que existe un mercado activo para exploits de día cero de segunda mano que pueden ser reutilizados por otros actores de amenazas para sus propios fines. En un informe relacionado, iVerify dijo que el kit de explotación tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.
«Coruña es uno de los ejemplos más significativos que hemos visto de capacidades avanzadas de software espía que pasan de proveedores comerciales de vigilancia a manos de actores estatales y, en última instancia, a operaciones criminales a gran escala», dijo iVerify.
El proveedor de seguridad móvil dijo que el uso de este sofisticado marco de explotación marca el primer gran volumen de vulnerabilidades observado contra dispositivos iOS y señala que los ataques de software espía están pasando de una implementación altamente dirigida a una implementación generalizada.
Google dijo que capturó por primera vez parte de una cadena de exploits de iOS utilizada por un cliente de una empresa de monitoreo anónimo a principios del año pasado, y que el exploit se integró en un marco de JavaScript nunca antes visto. El marco está diseñado para tomar huellas dactilares de un dispositivo para determinar si es genuino y recopilar detalles como el modelo de iPhone específico y la versión del software iOS que está ejecutando.
Luego, el marco carga el exploit de ejecución remota de código (RCE) de WebKit apropiado en función de los datos de huellas dactilares, seguido de la omisión del código de autenticación de puntero (PAC). El exploit en cuestión está relacionado con CVE-2024-23222, un error de confusión de tipos en WebKit que Apple parchó en enero de 2024 en iOS 17.3 y iPadOS 17.3, iOS 16.7.5 y iPadOS 16.7.5.
En julio de 2025, se detectó el mismo marco de JavaScript en el dominio “cdn.uacounter(.)com” y se cargó como un iFrame oculto en un sitio web ucraniano comprometido. Esto incluye sitios web que presentan equipos industriales, herramientas minoristas, servicios locales y comercio electrónico. Se cree que un grupo de espías ruso llamado UNC6353 está detrás de esta operación.
Lo interesante de esta actividad es que el marco sólo se distribuyó a usuarios específicos de iPhone desde ubicaciones geográficas específicas. Los exploits introducidos como parte del marco consisten en CVE-2024-23222, CVE-2022-48503 y CVE-2023-43000, el último de los cuales es una falla de uso después de la liberación en WebKit.
Vale la pena señalar que Apple solucionó CVE-2023-43000 en iOS 16.6 y iPadOS 16.6 lanzados en julio de 2023. Sin embargo, las notas de la versión de seguridad se actualizaron para incluir una entrada sobre esta vulnerabilidad solo el 11 de noviembre de 2025.
La tercera vez que se detectó el marco de JavaScript fue en diciembre de 2025. Se descubrió que una serie de sitios web chinos falsos, la mayoría de ellos relacionados con finanzas, lanzaban kits de explotación de iOS después de indicar a los usuarios que accedieran a ellos desde un iPhone o iPad para una mejor experiencia de usuario. Esta actividad se puede atribuir al grupo de amenazas rastreado como UNC6691.
Cuando se accede a estos sitios web a través de un dispositivo iOS, se inserta un iFrame oculto y se entrega el kit de explotación Coruna que contiene CVE-2024-23222. En este caso, la distribución del exploit no estuvo restringida por criterios de geolocalización.
Un análisis más detallado de la infraestructura del actor de amenazas reveló una versión de depuración del kit de exploits, junto con varias muestras que cubren cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 exploits, que abarcan versiones desde iOS 13 hasta iOS 17.2.1.
Algunos de los CVE explotados por este kit y sus correspondientes versiones de iOS se enumeran a continuación.
«Photon y Gallium están explotando vulnerabilidades que también se utilizaron como día cero como parte de la Operación Triangulación», dijo Google. «El kit de explotación de Coruña también incluye módulos reutilizables que facilitan la explotación de las vulnerabilidades antes mencionadas».
En junio de 2023, el gobierno ruso afirmó que la campaña era obra de la Agencia de Seguridad Nacional de Estados Unidos, acusando a la agencia de piratear «miles» de dispositivos Apple propiedad de suscriptores y diplomáticos nacionales como parte de «operaciones de reconocimiento».
Se ha observado que UNC6691 utiliza este exploit como arma para distribuir un binario stager con nombre en código PlasmaLoader (también conocido como PLASMAGRID), que está diseñado para decodificar códigos QR a partir de imágenes y ejecutar módulos adicionales recuperados de servidores externos, lo que le permite robar billeteras de criptomonedas e información confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask.
«El implante incluye una lista codificada de C2, pero tiene un mecanismo de respaldo en caso de que el servidor no responda», agregó GTIG. «Este implante incorpora un algoritmo de generación de dominio personalizado (DGA) que utiliza la cadena «lazarus» como semilla para generar una lista de dominios predecibles. El dominio tiene 15 caracteres y utiliza .xyz como TLD. Los atacantes utilizan el sistema de resolución de DNS público de Google para verificar si un dominio está activo».
Lo notable de Coruña es que no se ejecuta en el dispositivo si está en modo bloqueado o si el usuario está en navegación privada. Para combatir esta amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mayor seguridad.
Source link
