Un kit de explotación que puede haberse originado a partir de un marco de trabajo filtrado del gobierno de EE. UU. está detrás de lo que los investigadores llaman el primer ataque a gran escala contra iOS, el sistema operativo de los iPhone de Apple.

Rastros de los exploits, encontrados en el trabajo de ciberdelincuentes chinos, también han sido detectados en ataques rusos a Ucrania y utilizados por un cliente de un proveedor de software espía.

Esas conclusiones provienen de dos investigaciones que Grupo de inteligencia sobre amenazas de Google y iVerificar publicado por separado el martes. Rocky Cole, cofundador de iVerify, dijo que representaba un potencial “momento EternalBlue”, con ecos de ese software de explotación que escapó de la Agencia de Seguridad Nacional para alimentar el ransomware global WannaCry y los ataques NotPetya en 2017.

Google dijo que el llamado kit de exploits Coruña que es el tema de la investigación del martes «proporciona otro ejemplo de cómo proliferan las capacidades sofisticadas», como escribió en una publicación de blog sobre los exploits de día cero, o no divulgados ni parcheados previamente.

«No está claro cómo se produjo esta proliferación, pero sugiere un mercado activo para exploits de día cero de 'segunda mano'», escribió Google. «Más allá de estos exploits identificados, múltiples actores de amenazas han adquirido técnicas de explotación avanzadas que pueden reutilizarse y modificarse con vulnerabilidades recientemente identificadas».

Dijo iVerify: «Si bien iVerify tiene alguna evidencia de que esta herramienta es un marco del gobierno de EE. UU. filtrado, eso no debería eclipsar el conocimiento de que estas herramientas encontrarán su camino hacia la naturaleza y serán utilizadas sin escrúpulos por malos actores».

La semana pasada, un tribunal estadounidense condenó a prisión a un ex ejecutivo de L3 Harris por vender exploits de día cero a un corredor ruso.

Tanto Google como iVerify conectaron el kit de exploits a la Operación Triangulación, que según la firma rusa de ciberseguridad Kaspersky en 2023 había apuntado a la compañía y al gobierno ruso atribuido al gobierno de Estados Unidos. La NSA se negó a comentar sobre esa acusación.

Un portavoz de Apple no respondió a una solicitud de comentarios el martes por la tarde. Apple emitió varios parches en respuesta a la Operación Triangulación y trabajó con Google en la investigación más reciente.

Spencer Parker, director de productos de iVerify, dijo que el ataque afectó al menos a 42.000 dispositivos, una «cifra enorme» para iOS, aunque parezca pequeña para otras plataformas. Ese número tiene el potencial de expandirse a medida que los investigadores profundicen en los detalles técnicos, dijo Cole.

Otras señales apuntan al desarrollo del kit de exploits en Estados Unidos, dijo Cole.

«La base del código para el marco y los exploits fue excelente», dijo. «Estaba escrito con elegancia. Es fluido y se mantiene muy bien. Había comentarios en el código que, como alguien que ha estado en la base industrial de defensa de EE. UU. durante años, realmente recuerdan el tipo de bromas y comentarios internos que podrías ver de un codificador con sede en EE. UU. Sin duda, eran hablantes nativos de inglés».

Google dijo que rastreó el uso del kit de explotación a lo largo del año pasado en operaciones desde un cliente anónimo de un proveedor de vigilancia hasta ataques a usuarios ucranianos por parte de un presunto grupo de espionaje ruso, antes de recuperar el kit de explotación completo de un grupo con motivación financiera que opera desde China.

El investigador de seguridad de Apple, Patrick Wardle, observó en el sitio de redes sociales X sobre la investigación de Coruña: «Resulta que incluso los ciberdelincuentes más humildes estaban (ab)usando 0days para piratear dispositivos Apple».