El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como La Coruña es una versión actualizada del mismo exploit que se utilizó en la campaña Operación Triangulación en 2023, según nuevos hallazgos de Kaspersky.

«Cuando se informó por primera vez sobre Coruña, la evidencia pública no era suficiente para vincular su código con la triangulación; las vulnerabilidades compartidas por sí solas no prueban la autoría compartida», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un comunicado.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco original de Operación Triangulación. La inclusión de comprobaciones para procesadores recientes como el M3 y versiones más recientes de iOS muestra que los desarrolladores originales han expandido activamente esta base de código. Lo que comenzó como una herramienta de espionaje de precisión ahora se implementa indiscriminadamente».

Coruña fue documentado por primera vez por Google e iVerify a principios de este mes apuntando a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

Aunque el uso del kit fue utilizado por primera vez por un cliente de una empresa de vigilancia anónima a principios del año pasado, desde entonces ha sido aprovechado por un presunto actor-estado-nación alineado con Rusia en ataques a pozos de agua en Ucrania y en una campaña de explotación masiva que empleó un grupo de sitios web chinos falsos de apuestas y criptomonedas para entregar un malware de robo de datos conocido como PlasmaLoader (también conocido como PLASMAGRID).

El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, incluidos CVE-2023-32434 y CVE-2023-38606, los cuales fueron Se utilizó por primera vez como día cero en la Operación Triangulación, una sofisticada campaña dirigida a dispositivos iOS que implicó la explotación de cuatro vulnerabilidades en el sistema operativo móvil de Apple.

Los últimos hallazgos de Kaspersky indicaron que los exploits del kernel tanto en Triangulation como en Coruna fueron creados por el mismo autor, y Coruna también utilizó cuatro exploits del kernel adicionales. El proveedor de seguridad ruso dijo que todos estos exploits se basan en el mismo marco de explotación del kernel y comparten un código común.

Específicamente, el código incluye soporte para los procesadores A17, M3, M3 Pro y M3 Max de Apple, junto con comprobaciones de iOS 17.2 y iOS versión 16.5 beta 4, la última de las cuales parchó las cuatro vulnerabilidades explotadas como parte de la Operación Triangulación. La verificación para iOS 17.2, por otro lado, está destinada a tener en cuenta los exploits más nuevos, dijo Kaspersky.

El punto de partida del ataque es cuando un usuario visita un sitio web comprometido en Safari, lo que hace que un stager tome las huellas digitales del navegador y realice el exploit apropiado según el navegador y la versión del sistema operativo. Esto, a su vez, allana el camino para la ejecución de una carga útil que activa el exploit del kernel.

«Después de descargar los componentes necesarios, la carga útil comienza a ejecutar exploits del kernel, cargadores Mach-O y el lanzador de malware», dijo Kaspersky. «La carga útil selecciona un cargador Mach-O apropiado según la versión del firmware, la CPU y la presencia del permiso de servicio abierto iokit».

El lanzador es el principal orquestador responsable de iniciar las actividades posteriores a la explotación, aprovechando el exploit del kernel para colocar y ejecutar el implante final. También limpia los artefactos de explotación para encubrir el rastro forense.

«Originalmente desarrollado con fines de ciberespionaje, este marco ahora está siendo utilizado por ciberdelincuentes de un tipo más amplio, poniendo en riesgo a millones de usuarios con dispositivos sin parches», dijo Larin. «Dado su diseño modular y su facilidad de reutilización, esperamos que otros actores de amenazas comiencen a incorporarlo en sus ataques».

El desarrollo se produce cuando se filtró en GitHub una nueva versión del kit de explotación de iPhone DarkSword. planteando preocupaciones que podría equipar a más actores de amenazas con capacidades avanzadas para comprometer dispositivos, convirtiendo efectivamente lo que alguna vez fue una herramienta de piratería de élite en un marco de explotación masiva. El lanzamiento de la nueva versión fue el primero. reportado por TechCrunch.

Apple está instando a los usuarios que todavía ejecutan una versión obsoleta de iOS a actualizar sus iPhones para protegerlos contra ataques basados ​​en web llevados a cabo a través de potentes kits de exploits como Coruna y DarkSword.

Estos ataques emplean contenido web malicioso para atacar versiones obsoletas de iOS, lo que desencadena una cadena de infección que conduce al robo de datos confidenciales.

«Por ejemplo, si estás usando una versión anterior de iOS y haces clic en un enlace malicioso o visitas un sitio web comprometido, los datos de tu iPhone podrían correr el riesgo de ser robados», Apple dicho en un documento de soporte.

«Investigamos exhaustivamente estos problemas a medida que fueron encontrados y lanzamos actualizaciones de software lo más rápido posible para las versiones más recientes del sistema operativo para abordar las vulnerabilidades e interrumpir dichos ataques».

Los usuarios que ya tienen la última versión del software del iPhone no necesitan realizar ninguna acción. Esto incluye las versiones de iOS 15 a 26, que vienen con correcciones para las diversas fallas de seguridad utilizadas por los kits de exploits. Para otros, Apple recomienda el siguiente curso de acción:

«Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados», señaló Cupertino.

El aviso de Apple llega a raíz de informes recientes sobre dos exploits de iOS que han sido utilizados por múltiples actores de amenazas con diversas motivaciones para robar datos confidenciales de dispositivos comprometidos. Estos kits se entregan a través de un ataque de abrevadero a través de sitios web comprometidos.

iVerify dijo que los descubrimientos muestran que las vulnerabilidades de iOS, de las que alguna vez se abusó para atacar selectivamente a individuos en ataques de software espía móvil patrocinados por el estado, están siendo explotadas a gran escala por otros actores de amenazas.

«La relativa simplicidad de implementación del exploit, junto con su rápida adopción por parte de múltiples actores de amenazas en múltiples países, indica que estas poderosas herramientas ahora están disponibles en el mercado secundario para actores menos sofisticados», Spencer Parker, director de productos de iVerify, dichoy agregó que «la explotación móvil a nivel de estado-nación ahora está disponible para ataques masivos».

«Esto representa un nuevo nivel de escala, lo que hace que los ataques móviles generalizados sean una preocupación crítica e inevitable para todas las empresas. La evidencia confirma que estos exploits son fáciles de reutilizar y reimplementar, lo que hace muy probable que las implementaciones modificadas estén infectando activamente a los usuarios sin parches».

Apple respaldó el miércoles correcciones para una falla de seguridad en iOS, iPadOS y macOS Sonoma a versiones anteriores después de que se descubrió que se usaba como parte del kit de exploits Coruna.

La vulnerabilidad, rastreada como CVE-2023-43010se relaciona con una vulnerabilidad no especificada en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. El fabricante del iPhone dijo que el problema se solucionó mejorando el manejo.

«Esta solución asociada con el exploit Coruna se envió en iOS 17.2 el 11 de diciembre de 2023», dijo Apple en un aviso. «Esta actualización trae esa solución a los dispositivos que no pueden actualizarse a la última versión de iOS».

Apple lanzó originalmente las correcciones para CVE-2023-43010 en las siguientes versiones:

La última ronda de correcciones lo lleva a versiones anteriores de iOS y iPadOS.

• iOS 15.8.7 y iPadOS 15.8.7 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
• iOS 16.7.15 y iPadOS 16.7.15 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación

Es más, iOS 15.8.7 y iPadOS 15.8.7 incorporan parches para tres vulnerabilidades más asociadas con el exploit Coruna:

• CVE-2023-43000 (Solucionado originalmente en iOS 16.6, lanzado el 24 de julio de 2023): un problema de uso después de la liberación en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
• CVE-2023-41974 (Solucionado originalmente en iOS 17, lanzado el 18 de septiembre de 2023): un problema de uso después de la liberación en el kernel que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel.
• CVE-2024-23222 (Solucionado originalmente en iOS 17.3 lanzado el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.

Los detalles de Coruña surgieron a principios de este mes después de que Google dijera que el kit de exploits presenta 23 exploits en cinco cadenas diseñadas para apuntar a modelos de iPhone que ejecutan versiones de iOS entre 13.0 y 17.2.1. iVerify, que está rastreando el marco de malware que utiliza el kit de explotación bajo el nombre CryptoWaters, dijo que tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

El desarrollo se produce en medio de informes de que Coruña probablemente fue diseñado por el contratista militar estadounidense L3Harris y que Peter Williams, un ex gerente general de la compañía que fue sentenciado a más de siete años de prisión por vender varios exploits a cambio de dinero, pudo haberlo pasado al corredor de exploits ruso Operation Zero.

Un aspecto interesante de Coruña es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que se utilizaron como armas de día cero en una campaña denominada Operación Triangulación dirigida a usuarios en Rusia en 2023. Kaspersky dijo a The Hacker News que es posible que cualquier equipo suficientemente capacitado cree sus propios exploits, dado que ambos fallos tienen implementaciones disponibles públicamente.

«A pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún grupo APT conocido o empresa de desarrollo de exploits», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico.

«Para ser precisos: ni Google ni iVerify en su investigación publicada afirman que Coruña reutiliza el código de Triangulación. Lo que identifican es que dos exploits en Coruña – Photon y Gallium – apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede basarse únicamente en el hecho de la explotación de estas vulnerabilidades».

Google dijo que identificó un kit de explotación «nuevo y poderoso» denominado La Coruña (también conocido como CryptoWaters) dirigido a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

El kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits, dijo Google Threat Intelligence Group (GTIG). No es efectivo contra la última versión de iOS. Los hallazgos fueron reportado por primera vez por CABLEADO.

«El valor técnico principal de este kit de exploits radica en su colección completa de exploits para iOS, y los más avanzados utilizan técnicas de explotación no públicas y omisiones de mitigación». de acuerdo a a GTIG. «El marco que rodea el kit de exploits está extremadamente bien diseñado; todas las piezas del exploit están conectadas de forma natural y se combinan mediante marcos de utilidad y explotación comunes».

Se dice que el kit ha circulado entre múltiples actores de amenazas desde febrero de 2025, pasando de una operación de vigilancia comercial a un atacante respaldado por el gobierno y, finalmente, a un actor de amenazas con motivación financiera que opera desde China en diciembre.

Actualmente no se sabe cómo cambió de manos el kit de exploits, pero los hallazgos apuntan a un mercado activo para exploits de día cero de segunda mano, lo que permite a otros actores de amenazas reutilizarlos para sus propios objetivos. En un informe relacionado, iVerify dicho El kit de explotación tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

«La Coruña es uno de los ejemplos más significativos que hemos observado de capacidades sofisticadas de software espía que proliferan desde proveedores comerciales de vigilancia hasta manos de actores estatales y, en última instancia, operaciones criminales a gran escala», iVerify dicho.

El proveedor de seguridad móvil dijo que el uso del sofisticado marco de explotación marca la primera explotación masiva observada contra dispositivos iOS, lo que indica que los ataques de software espía están pasando de ser altamente dirigidos a un despliegue amplio.

Google dijo que capturó por primera vez partes de una cadena de exploits de iOS utilizada por un cliente de una empresa de vigilancia anónima a principios del año pasado, con los exploits integrados en un marco de JavaScript nunca antes visto. El marco está diseñado para tomar huellas dactilares del dispositivo para determinar si es real y recopilar detalles, incluido el modelo de iPhone específico y la versión del software iOS que está ejecutando.

Luego, el marco carga el exploit de ejecución remota de código (RCE) de WebKit apropiado en función de los datos de huellas dactilares, seguido de la ejecución de una omisión del código de autenticación de puntero (PAC). El exploit en cuestión se relaciona con CVE-2024-23222, un error de confusión de tipos en WebKit que Apple parchó en enero de 2024 con iOS 17.3 y iPadOS 17.3 y iOS 16.7.5 y iPadOS 16.7.5.

En julio de 2025, se detectó el mismo marco de JavaScript en el dominio «cdn.uacounter[.]com», que se cargó como un iFrame oculto en sitios web ucranianos comprometidos. Esto incluía sitios web que abastecían a equipos industriales, herramientas minoristas, servicios locales y comercio electrónico. Se considera que un presunto grupo de espionaje ruso llamado UNC6353 está detrás de la campaña.

Lo interesante de la actividad fue que el marco se entregó sólo a ciertos usuarios de iPhone desde una geolocalización específica. Los exploits implementados como parte del marco consistieron en CVE-2024-23222, CVE-2022-48503 y CVE-2023-43000el último de los cuales es una falla de uso después de la liberación en WebKit.

Vale la pena señalar que Apple solucionó CVE-2023-43000 en iOS 16.6 y iPadOS 16.6, lanzados en julio de 2023. Sin embargo, las notas de la versión de seguridad se actualizaron para incluir una entrada para la vulnerabilidad solo el 11 de noviembre de 2025.

La tercera vez que se detectó un marco de JavaScript en la naturaleza fue en diciembre de 2025. Se descubrió que un grupo de sitios web chinos falsos, la mayoría de ellos relacionados con finanzas, abandonaban el kit de explotación de iOS, al tiempo que instaban a los usuarios a visitarlos desde un iPhone o iPad para una mejor experiencia de usuario. La actividad se atribuye a un grupo de amenazas rastreado como UNC6691.

Una vez que se accede a estos sitios web a través de un dispositivo iOS, se inyecta un iFrame oculto para entregar el kit de explotación Coruna que contiene CVE-2024-23222. La entrega del exploit, en este caso, no estuvo limitada por ningún criterio de geolocalización.

Un análisis más detallado de la infraestructura del actor de amenazas condujo al descubrimiento de una versión de depuración del kit de exploits, junto con varias muestras que cubren cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 exploits que cubren versiones desde iOS 13 hasta iOS 17.2.1.

Algunos de los CVE explotados por el kit y las correspondientes versiones de iOS a las que apuntaban se enumeran a continuación:

«Photon y Gallium están explotando vulnerabilidades que también se utilizaron como día cero como parte de la Operación Triangulación», dijo Google. «El kit de explotación Coruna también incorpora módulos reutilizables para facilitar la explotación de las vulnerabilidades antes mencionadas».

En diciembre de 2023, el gobierno ruso afirmó que la campaña era obra de la Agencia de Seguridad Nacional de EE. UU., acusándola de piratear «varios miles» de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de una «operación de reconocimiento».

Se ha observado que UNC6691 utiliza el exploit como arma para entregar un binario stager con nombre en código PlasmaLoader (también conocido como PLASMAGRID) que está diseñado para decodificar códigos QR a partir de imágenes y ejecutar módulos adicionales recuperados de un servidor externo, lo que le permite filtrar billeteras de criptomonedas o información confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask, entre otras.

«El implante contiene una lista de C2 codificados, pero tiene un mecanismo de respaldo en caso de que los servidores no respondan», añadió GTIG. «El implante incorpora un algoritmo de generación de dominio personalizado (DGA) que utiliza la cadena ‘lazarus’ como semilla para generar una lista de dominios predecibles. Los dominios tendrán 15 caracteres y utilizarán .xyz como TLD. Los atacantes utilizan el sistema de resolución de DNS público de Google para validar si los dominios están activos».

Un aspecto notable de Coruña es que omite la ejecución en dispositivos en modo de bloqueo o si el usuario se encuentra en navegación privada. Para contrarrestar la amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mayor seguridad.