Los investigadores de seguridad informan que un potente marco de hackeo de iPhone, que alguna vez estuvo vinculado a operaciones de vigilancia, ahora se utiliza en campañas delictivas para robar criptomonedas y datos sensibles de los usuarios.

Este kit de explotación, conocido como Coruna, contiene múltiples cadenas de explotación que pueden comprometer iPhones vulnerables a través de sitios web maliciosos.

Los hackers apuntan a WebKit y versiones antiguas de iOS

Según análisis realizados por el Grupo de Inteligencia de Amenazas de Google y la empresa de seguridad móvil iVerify, el marco incluye:

  • Cinco cadenas de explotación completas
  • 23 vulnerabilidades de seguridad de iOS conocidas
  • Técnicas que eluden múltiples protecciones de seguridad de Apple

Los ataques apuntan a WebKit, que es utilizado por todos los navegadores de iOS. Esto significa que visitar una página web maliciosa podría comprometer dispositivos que ejecutan versiones antiguas de iOS.

Una vez activada, la cadena de explotación eleva los privilegios de acceso desde el navegador al nivel del núcleo, permitiendo a los atacantes cargar malware con permisos de root.

De herramienta de vigilancia a arma del crimen

Los investigadores detectaron los componentes del marco por primera vez a principios de 2025, durante una operación de vigilancia que se informó estaba vinculada a un vendedor de software espía.

Más adelante ese año, la explotación volvió a aparecer en una sospechosa campaña de inteligencia rusa que apuntaba a sitios web de Ucrania. El código malicioso estaba oculto dentro de un widget de conteo de visitantes que infectaba silenciosamente a los usuarios de iPhone seleccionados.

Más recientemente, el marco se reutilizó en operaciones delictivas que apuntaban a sitios de criptomonedas y juegos de azar de habla china.

Más de 40,000 dispositivos potencialmente infectados por Coruna

La empresa de seguridad iVerify estima que una sola campaña centrada en criptomonedas infectó aproximadamente 42,000 dispositivos; esta estimación se basa en las conexiones a los servidores de comando y control utilizados por los atacantes.

Cuando un dispositivo se ve comprometido, los hackers pueden buscar billeteras de criptomonedas, robar credenciales de intercambio y extraer datos de fotos y correos electrónicos.

Los investigadores señalan que el marco de explotación básico es extremadamente sofisticado, mientras que el software delictivo agregado parece ser mucho más simple; esto sugiere que diferentes grupos están reutilizando la misma plataforma de explotación.

Posibles conexiones con campañas de software espía anteriores

Se informa que el código utilizado en Coruna se superpone con componentes de una gran campaña de espionaje de iPhone descubierta en 2023, conocida como la Operación Triangulación.

Algunos investigadores creen que el marco podría haberse desarrollado inicialmente para uso gubernamental o de inteligencia, y luego se filtró a un mercado de explotación más amplio.

Los expertos comparan la situación con la filtración de EternalBlue, que más tarde provocó ciberataques a gran escala como WannaCry.

Cómo los exploits de iPhone de nivel estatal cayeron en manos de criminales

Los investigadores destacan que el incidente pone de relieve un creciente mercado de "segunda mano" para los marcos de explotación de día cero.

Las herramientas inicialmente creadas para agencias de inteligencia o fuerzas del orden pueden ser revendidas con el tiempo en manos de intermediarios de explotación y, a veces, caer en manos de gobiernos rivales o grupos de ciberdelincuencia.

Aunque Apple ha parcheado las vulnerabilidades conocidas utilizadas por Coruna en las versiones actuales de iOS, los expertos en seguridad advierten que las técnicas detrás del marco pueden seguir evolucionando.

Los usuarios que utilizan versiones antiguas de iOS siguen siendo los más vulnerables. Para evitar vulnerabilidades, los usuarios deben mantener sus dispositivos completamente actualizados con los últimos parches de seguridad.