Google dijo que identificó un kit de explotación «nuevo y poderoso» denominado La Coruña (también conocido como CryptoWaters) dirigido a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

El kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits, dijo Google Threat Intelligence Group (GTIG). No es efectivo contra la última versión de iOS. Los hallazgos fueron reportado por primera vez por CABLEADO.

«El valor técnico principal de este kit de exploits radica en su colección completa de exploits para iOS, y los más avanzados utilizan técnicas de explotación no públicas y omisiones de mitigación». de acuerdo a a GTIG. «El marco que rodea el kit de exploits está extremadamente bien diseñado; todas las piezas del exploit están conectadas de forma natural y se combinan mediante marcos de utilidad y explotación comunes».

Se dice que el kit ha circulado entre múltiples actores de amenazas desde febrero de 2025, pasando de una operación de vigilancia comercial a un atacante respaldado por el gobierno y, finalmente, a un actor de amenazas con motivación financiera que opera desde China en diciembre.

Actualmente no se sabe cómo cambió de manos el kit de exploits, pero los hallazgos apuntan a un mercado activo para exploits de día cero de segunda mano, lo que permite a otros actores de amenazas reutilizarlos para sus propios objetivos. En un informe relacionado, iVerify dicho El kit de explotación tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

«La Coruña es uno de los ejemplos más significativos que hemos observado de capacidades sofisticadas de software espía que proliferan desde proveedores comerciales de vigilancia hasta manos de actores estatales y, en última instancia, operaciones criminales a gran escala», iVerify dicho.

El proveedor de seguridad móvil dijo que el uso del sofisticado marco de explotación marca la primera explotación masiva observada contra dispositivos iOS, lo que indica que los ataques de software espía están pasando de ser altamente dirigidos a un despliegue amplio.

Google dijo que capturó por primera vez partes de una cadena de exploits de iOS utilizada por un cliente de una empresa de vigilancia anónima a principios del año pasado, con los exploits integrados en un marco de JavaScript nunca antes visto. El marco está diseñado para tomar huellas dactilares del dispositivo para determinar si es real y recopilar detalles, incluido el modelo de iPhone específico y la versión del software iOS que está ejecutando.

Luego, el marco carga el exploit de ejecución remota de código (RCE) de WebKit apropiado en función de los datos de huellas dactilares, seguido de la ejecución de una omisión del código de autenticación de puntero (PAC). El exploit en cuestión se relaciona con CVE-2024-23222, un error de confusión de tipos en WebKit que Apple parchó en enero de 2024 con iOS 17.3 y iPadOS 17.3 y iOS 16.7.5 y iPadOS 16.7.5.

En julio de 2025, se detectó el mismo marco de JavaScript en el dominio «cdn.uacounter[.]com», que se cargó como un iFrame oculto en sitios web ucranianos comprometidos. Esto incluía sitios web que abastecían a equipos industriales, herramientas minoristas, servicios locales y comercio electrónico. Se considera que un presunto grupo de espionaje ruso llamado UNC6353 está detrás de la campaña.

Lo interesante de la actividad fue que el marco se entregó sólo a ciertos usuarios de iPhone desde una geolocalización específica. Los exploits implementados como parte del marco consistieron en CVE-2024-23222, CVE-2022-48503 y CVE-2023-43000el último de los cuales es una falla de uso después de la liberación en WebKit.

Vale la pena señalar que Apple solucionó CVE-2023-43000 en iOS 16.6 y iPadOS 16.6, lanzados en julio de 2023. Sin embargo, las notas de la versión de seguridad se actualizaron para incluir una entrada para la vulnerabilidad solo el 11 de noviembre de 2025.

La tercera vez que se detectó un marco de JavaScript en la naturaleza fue en diciembre de 2025. Se descubrió que un grupo de sitios web chinos falsos, la mayoría de ellos relacionados con finanzas, abandonaban el kit de explotación de iOS, al tiempo que instaban a los usuarios a visitarlos desde un iPhone o iPad para una mejor experiencia de usuario. La actividad se atribuye a un grupo de amenazas rastreado como UNC6691.

Una vez que se accede a estos sitios web a través de un dispositivo iOS, se inyecta un iFrame oculto para entregar el kit de explotación Coruna que contiene CVE-2024-23222. La entrega del exploit, en este caso, no estuvo limitada por ningún criterio de geolocalización.

Un análisis más detallado de la infraestructura del actor de amenazas condujo al descubrimiento de una versión de depuración del kit de exploits, junto con varias muestras que cubren cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 exploits que cubren versiones desde iOS 13 hasta iOS 17.2.1.

Algunos de los CVE explotados por el kit y las correspondientes versiones de iOS a las que apuntaban se enumeran a continuación:

«Photon y Gallium están explotando vulnerabilidades que también se utilizaron como día cero como parte de la Operación Triangulación», dijo Google. «El kit de explotación Coruna también incorpora módulos reutilizables para facilitar la explotación de las vulnerabilidades antes mencionadas».

En diciembre de 2023, el gobierno ruso afirmó que la campaña era obra de la Agencia de Seguridad Nacional de EE. UU., acusándola de piratear «varios miles» de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de una «operación de reconocimiento».

Se ha observado que UNC6691 utiliza el exploit como arma para entregar un binario stager con nombre en código PlasmaLoader (también conocido como PLASMAGRID) que está diseñado para decodificar códigos QR a partir de imágenes y ejecutar módulos adicionales recuperados de un servidor externo, lo que le permite filtrar billeteras de criptomonedas o información confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask, entre otras.

«El implante contiene una lista de C2 codificados, pero tiene un mecanismo de respaldo en caso de que los servidores no respondan», añadió GTIG. «El implante incorpora un algoritmo de generación de dominio personalizado (DGA) que utiliza la cadena ‘lazarus’ como semilla para generar una lista de dominios predecibles. Los dominios tendrán 15 caracteres y utilizarán .xyz como TLD. Los atacantes utilizan el sistema de resolución de DNS público de Google para validar si los dominios están activos».

Un aspecto notable de Coruña es que omite la ejecución en dispositivos en modo de bloqueo o si el usuario se encuentra en navegación privada. Para contrarrestar la amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mayor seguridad.

El grupo de actividad de amenazas conocido como descuidadolemming se ha atribuido a una nueva serie de ataques dirigidos a entidades gubernamentales y operadores de infraestructuras críticas en Pakistán y Bangladesh.

La actividad, según Arctic Wolf, tuvo lugar entre enero de 2025 y enero de 2026. Implica el uso de dos cadenas de ataque distintas para entregar familias de malware rastreadas como BurrowShell y un keylogger basado en Rust.

«El uso del lenguaje de programación Rust representa una evolución notable en las herramientas de SloppyLemming, ya que informes anteriores documentaron que el actor utiliza sólo lenguajes compilados tradicionales y marcos de simulación de adversarios prestados como Cobalt Strike, Havoc y el NekroWire RAT personalizado», la empresa de ciberseguridad. dicho en un informe compartido con The Hacker News.

SloppyLemming es el apodo asignado a un actor de amenazas que se sabe que apunta a entidades gubernamentales, policiales, energéticas, de telecomunicaciones y tecnológicas en Pakistán, Sri Lanka, Bangladesh y China desde al menos 2022. También se rastrea con los nombres Tigre escolta y Pescando Elefante.

Campañas anteriores montadas por el equipo de hackers han aprovechado familias de malware como Ares RAT y WarHawk, que a menudo se atribuyen a SideCopy y SideWinder, respectivamente.

El análisis de ArcticWolf de los últimos ataques ha descubierto el uso de correos electrónicos de phishing para entregar señuelos PDF y documentos Excel habilitados para macros para iniciar las cadenas de infección. Describió al actor de amenazas como operando con capacidad moderada.

Los señuelos PDF contienen URL diseñadas para llevar a las víctimas a los manifiestos de la aplicación ClickOnce, que luego implementan un ejecutable legítimo de Microsoft .NET («NGenTask.exe») y un cargador malicioso («mscorsvc.dll»). El cargador se inicia mediante la carga lateral de DLL para descifrar y ejecutar un implante de código shell x64 personalizado con nombre en código BurrowShell.

«BurrowShell es una puerta trasera con todas las funciones que proporciona al actor de amenazas manipulación del sistema de archivos, capacidades de captura de capturas de pantalla, ejecución remota de shell y capacidades de proxy SOCKS para túneles de red», dijo Arctic Wolf. «El implante disfraza su tráfico de comando y control (C2) como comunicaciones del servicio Windows Update y emplea encriptación RC4 con una clave de 32 caracteres para proteger la carga útil».

La segunda cadena de ataque emplea documentos de Excel que contienen macros maliciosas para eliminar el malware keylogger, al tiempo que incorpora funciones para realizar escaneo de puertos y enumeración de redes.

Una investigación más exhaustiva de la infraestructura del actor de amenazas ha identificado 112 dominios de Cloudflare Workers registrados durante el período de un año, lo que supone un aumento de ocho veces con respecto a los 13 dominios marcados por Cloudflare en septiembre de 2024.

Los vínculos de la campaña con SloppyLemming se basan en la explotación continua de la infraestructura de Cloudflare Workers con patrones de erratas tipográficas con temas gubernamentales, implementación del marco Havoc C2, técnicas de carga lateral de DLL y patrones de victimología.

Vale la pena señalar que algunos aspectos del oficio del actor de amenazas, incluido el uso de la ejecución habilitada para ClickOnce, se superponen con una campaña reciente de SideWinder documentada por Trellix en octubre de 2025.

«En particular, atacar a los organismos reguladores nucleares, las organizaciones de logística de defensa y la infraestructura de telecomunicaciones de Pakistán, junto con las empresas de energía e instituciones financieras de Bangladesh, se alinea con las prioridades de recopilación de inteligencia consistentes con la competencia estratégica regional en el sur de Asia», dijo Arctic Wolf.

«La implementación de cargas útiles duales (el código shell en memoria BurrowShell para operaciones de proxy C2 y SOCKS, y un registrador de teclas basado en Rust para el robo de información) sugiere que el actor de amenazas mantiene la flexibilidad para implementar herramientas apropiadas basadas en el valor objetivo y los requisitos operativos».