Este kit de explotación de iOS tiene 23 ataques, pero el modo de bloqueo lo detiene en seco

El Threat Intelligence Group (GTIG) de Google ha publicado un nuevo informe sobre un potente kit de exploits para iOS llamado “Coruña”, que viajó desde un cliente de un proveedor de vigilancia hasta un grupo de espionaje ruso y cibercriminales chinos, revelando una sofisticada “cadena de suministro” de exploits en el proceso.

Descrito como uno de los kits de herramientas de exploits de iOS más completos que se hayan documentado públicamente, Coruna se dirige a iPhones que ejecutan iOS 13.0 hasta iOS 17.2.1 y contiene 23 exploits en cuatro años de versiones de iOS.

Según GTIG, fue detectado por primera vez en febrero de 2025, cuando fue utilizado por un cliente de un proveedor de vigilancia comercial. En el verano de 2025, el mismo marco apareció en los ataques de abrevadero (en los que un atacante compromete sitios web que sus objetivos previstos probablemente visitarán) por parte de un presunto grupo de espionaje ruso dirigido a usuarios ucranianos.

Luego, a finales de 2025, un actor con motivaciones financieras con sede en China lo implementó en una gran red de sitios web financieros y criptográficos falsos. GTIG dijo que no estaba claro cómo pasó el kit de exploits de un actor a otro, pero que sugiere un mercado activo para exploits de día cero “de segunda mano”.

En cuanto al kit, se describe como extremadamente bien diseñado. Cuando alguien visita un sitio web infectado, descubre qué tipo de iPhone está usando y qué versión de software está ejecutando, luego elige el ataque correcto para ese dispositivo específico. Si el usuario tiene activado el modo de bloqueo de Apple, el kit falla, ni siquiera lo intenta.

El código de ataque está codificado con un cifrado fuerte, por lo que es difícil para los investigadores de seguridad interceptarlo y analizarlo, y está empaquetado en un formato personalizado que aparentemente los desarrolladores inventaron ellos mismos. El código también incluye notas detalladas escritas en inglés que explican cómo funciona todo y utiliza técnicas de ataque que no se han visto públicamente antes, según el análisis de GTIG.

El kit apunta a billeteras de criptomonedas y datos financieros, y es capaz de conectarse a 18 aplicaciones criptográficas diferentes para extraer credenciales de billeteras. La carga útil puede decodificar códigos QR de imágenes en el disco y también tiene un módulo para analizar manchas de texto para buscar secuencias de palabras BIP39 o palabras clave muy específicas como “frase de respaldo” o “cuenta bancaria”. Incluso escanea Apple Notes en busca de frases iniciales típicas.

Cualquiera que todavía tenga iOS 17.2.1 o anterior es potencialmente vulnerable al kit de exploits, que no funciona con versiones más recientes de iOS, así que asegúrese de actualizar si puede. De lo contrario, la conclusión parece ser que el modo de bloqueo de Apple está haciendo su trabajo para protegerse de un kit de exploits tan poderoso, y eso sólo puede ser una buena noticia para quienes lo habilitan.