{"id":143,"date":"2026-03-04T15:25:23","date_gmt":"2026-03-04T15:25:23","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/04\/el-kit-de-explotacion-de-ios-de-coruna-utiliza-23-explotaciones-en-cinco-cadenas-dirigidas-a-ios-13-17-2-1-cyberdefensa-mx\/"},"modified":"2026-03-04T15:25:23","modified_gmt":"2026-03-04T15:25:23","slug":"el-kit-de-explotacion-de-ios-de-coruna-utiliza-23-explotaciones-en-cinco-cadenas-dirigidas-a-ios-13-17-2-1-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/04\/el-kit-de-explotacion-de-ios-de-coruna-utiliza-23-explotaciones-en-cinco-cadenas-dirigidas-a-ios-13-17-2-1-cyberdefensa-mx\/","title":{"rendered":"El kit de explotaci\u00f3n de iOS de Coru\u00f1a utiliza 23 explotaciones en cinco cadenas dirigidas a iOS 13\u201317.2.1 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Google dijo que identific\u00f3 un kit de explotaci\u00f3n \u00abnuevo y poderoso\u00bb denominado La Coru\u00f1a<\/strong> (tambi\u00e9n conocido como CryptoWaters) dirigido a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.<\/p>\n

El kit de exploits inclu\u00eda cinco cadenas completas de exploits para iOS y un total de 23 exploits, dijo Google Threat Intelligence Group (GTIG). No es efectivo contra la \u00faltima versi\u00f3n de iOS. Los hallazgos fueron reportado por primera vez<\/a> por CABLEADO.<\/p>\n

\u00abEl valor t\u00e9cnico principal de este kit de exploits radica en su colecci\u00f3n completa de exploits para iOS, y los m\u00e1s avanzados utilizan t\u00e9cnicas de explotaci\u00f3n no p\u00fablicas y omisiones de mitigaci\u00f3n\u00bb. de acuerdo a<\/a> a GTIG. \u00abEl marco que rodea el kit de exploits est\u00e1 extremadamente bien dise\u00f1ado; todas las piezas del exploit est\u00e1n conectadas de forma natural y se combinan mediante marcos de utilidad y explotaci\u00f3n comunes\u00bb.<\/p>\n

Se dice que el kit ha circulado entre m\u00faltiples actores de amenazas desde febrero de 2025, pasando de una operaci\u00f3n de vigilancia comercial a un atacante respaldado por el gobierno y, finalmente, a un actor de amenazas con motivaci\u00f3n financiera que opera desde China en diciembre.<\/p>\n

Actualmente no se sabe c\u00f3mo cambi\u00f3 de manos el kit de exploits, pero los hallazgos apuntan a un mercado activo para exploits de d\u00eda cero de segunda mano, lo que permite a otros actores de amenazas reutilizarlos para sus propios objetivos. En un informe relacionado, iVerify dicho<\/a> El kit de explotaci\u00f3n tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.<\/p>\n

\u00abLa Coru\u00f1a es uno de los ejemplos m\u00e1s significativos que hemos observado de capacidades sofisticadas de software esp\u00eda que proliferan desde proveedores comerciales de vigilancia hasta manos de actores estatales y, en \u00faltima instancia, operaciones criminales a gran escala\u00bb, iVerify dicho<\/a>.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El proveedor de seguridad m\u00f3vil dijo que el uso del sofisticado marco de explotaci\u00f3n marca la primera explotaci\u00f3n masiva observada contra dispositivos iOS, lo que indica que los ataques de software esp\u00eda est\u00e1n pasando de ser altamente dirigidos a un despliegue amplio.<\/p>\n

Google dijo que captur\u00f3 por primera vez partes de una cadena de exploits de iOS utilizada por un cliente de una empresa de vigilancia an\u00f3nima a principios del a\u00f1o pasado, con los exploits integrados en un marco de JavaScript nunca antes visto. El marco est\u00e1 dise\u00f1ado para tomar huellas dactilares del dispositivo para determinar si es real y recopilar detalles, incluido el modelo de iPhone espec\u00edfico y la versi\u00f3n del software iOS que est\u00e1 ejecutando.<\/p>\n

Luego, el marco carga el exploit de ejecuci\u00f3n remota de c\u00f3digo (RCE) de WebKit apropiado en funci\u00f3n de los datos de huellas dactilares, seguido de la ejecuci\u00f3n de una omisi\u00f3n del c\u00f3digo de autenticaci\u00f3n de puntero (PAC). El exploit en cuesti\u00f3n se relaciona con CVE-2024-23222, un error de confusi\u00f3n de tipos en WebKit que Apple parch\u00f3 en enero de 2024 con iOS 17.3 y iPadOS 17.3 y iOS 16.7.5 y iPadOS 16.7.5.<\/a><\/p>\n

\"\"<\/a><\/div>\n

En julio de 2025, se detect\u00f3 el mismo marco de JavaScript en el dominio \u00abcdn.uacounter[.]com\u00bb, que se carg\u00f3 como un iFrame oculto en sitios web ucranianos comprometidos. Esto inclu\u00eda sitios web que abastec\u00edan a equipos industriales, herramientas minoristas, servicios locales y comercio electr\u00f3nico. Se considera que un presunto grupo de espionaje ruso llamado UNC6353 est\u00e1 detr\u00e1s de la campa\u00f1a.<\/p>\n

Lo interesante de la actividad fue que el marco se entreg\u00f3 s\u00f3lo a ciertos usuarios de iPhone desde una geolocalizaci\u00f3n espec\u00edfica. Los exploits implementados como parte del marco consistieron en CVE-2024-23222, CVE-2022-48503 y CVE-2023-43000<\/a>el \u00faltimo de los cuales es una falla de uso despu\u00e9s de la liberaci\u00f3n en WebKit.<\/p>\n

Vale la pena se\u00f1alar que Apple solucion\u00f3 CVE-2023-43000 en iOS 16.6 y iPadOS 16.6, lanzados en julio de 2023. Sin embargo, las notas de la versi\u00f3n de seguridad se actualizaron para incluir una entrada para la vulnerabilidad solo el 11 de noviembre de 2025.<\/p>\n

La tercera vez que se detect\u00f3 un marco de JavaScript en la naturaleza fue en diciembre de 2025. Se descubri\u00f3 que un grupo de sitios web chinos falsos, la mayor\u00eda de ellos relacionados con finanzas, abandonaban el kit de explotaci\u00f3n de iOS, al tiempo que instaban a los usuarios a visitarlos desde un iPhone o iPad para una mejor experiencia de usuario. La actividad se atribuye a un grupo de amenazas rastreado como UNC6691.<\/p>\n

Una vez que se accede a estos sitios web a trav\u00e9s de un dispositivo iOS, se inyecta un iFrame oculto para entregar el kit de explotaci\u00f3n Coruna que contiene CVE-2024-23222. La entrega del exploit, en este caso, no estuvo limitada por ning\u00fan criterio de geolocalizaci\u00f3n.<\/p>\n

Un an\u00e1lisis m\u00e1s detallado de la infraestructura del actor de amenazas condujo al descubrimiento de una versi\u00f3n de depuraci\u00f3n del kit de exploits, junto con varias muestras que cubren cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 exploits que cubren versiones desde iOS 13 hasta iOS 17.2.1.<\/p>\n

Algunos de los CVE explotados por el kit y las correspondientes versiones de iOS a las que apuntaban se enumeran a continuaci\u00f3n:<\/p>\n

\u00abPhoton y Gallium est\u00e1n explotando vulnerabilidades que tambi\u00e9n se utilizaron como d\u00eda cero como parte de la Operaci\u00f3n Triangulaci\u00f3n\u00bb, dijo Google. \u00abEl kit de explotaci\u00f3n Coruna tambi\u00e9n incorpora m\u00f3dulos reutilizables para facilitar la explotaci\u00f3n de las vulnerabilidades antes mencionadas\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En diciembre de 2023, el gobierno ruso afirm\u00f3 que la campa\u00f1a era obra de la Agencia de Seguridad Nacional de EE. UU., acus\u00e1ndola de piratear \u00abvarios miles\u00bb de dispositivos Apple pertenecientes a suscriptores nacionales y diplom\u00e1ticos extranjeros como parte de una \u00aboperaci\u00f3n de reconocimiento\u00bb.<\/p>\n

Se ha observado que UNC6691 utiliza el exploit como arma para entregar un binario stager con nombre en c\u00f3digo PlasmaLoader (tambi\u00e9n conocido como PLASMAGRID) que est\u00e1 dise\u00f1ado para decodificar c\u00f3digos QR a partir de im\u00e1genes y ejecutar m\u00f3dulos adicionales recuperados de un servidor externo, lo que le permite filtrar billeteras de criptomonedas o informaci\u00f3n confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask, entre otras.<\/p>\n

\u00abEl implante contiene una lista de C2 codificados, pero tiene un mecanismo de respaldo en caso de que los servidores no respondan\u00bb, a\u00f1adi\u00f3 GTIG. \u00abEl implante incorpora un algoritmo de generaci\u00f3n de dominio personalizado (DGA) que utiliza la cadena ‘lazarus’ como semilla para generar una lista de dominios predecibles. Los dominios tendr\u00e1n 15 caracteres y utilizar\u00e1n .xyz como TLD. Los atacantes utilizan el sistema de resoluci\u00f3n de DNS p\u00fablico de Google para validar si los dominios est\u00e1n activos\u00bb.<\/p>\n

Un aspecto notable de Coru\u00f1a es que omite la ejecuci\u00f3n en dispositivos en modo de bloqueo o si el usuario se encuentra en navegaci\u00f3n privada. Para contrarrestar la amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mayor seguridad.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Google dijo que identific\u00f3 un kit de explotaci\u00f3n \u00abnuevo y poderoso\u00bb denominado La Coru\u00f1a (tambi\u00e9n conocido como CryptoWaters) dirigido a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1. El kit de exploits inclu\u00eda cinco cadenas completas de exploits para iOS y un total de 23 exploits, dijo Google Threat […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[432,351,430,428,24,431,106,429,404,427,216],"class_list":["post-143","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-1317-2-1","tag-cadenas","tag-cinco","tag-coruna","tag-cyberdefensa-mx","tag-dirigidas","tag-explotacion","tag-explotaciones","tag-ios","tag-kit","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/143","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=143"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/143\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=143"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=143"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=143"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}