{"id":373,"date":"2026-03-26T12:57:47","date_gmt":"2026-03-26T12:57:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/26\/el-kit-coruna-ios-reutiliza-el-codigo-de-explotacion-de-triangulacion-de-2023-en-nuevos-ataques-masivos-cyberdefensa-mx\/"},"modified":"2026-03-26T12:57:47","modified_gmt":"2026-03-26T12:57:47","slug":"el-kit-coruna-ios-reutiliza-el-codigo-de-explotacion-de-triangulacion-de-2023-en-nuevos-ataques-masivos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/26\/el-kit-coruna-ios-reutiliza-el-codigo-de-explotacion-de-triangulacion-de-2023-en-nuevos-ataques-masivos-cyberdefensa-mx\/","title":{"rendered":"El kit Coruna iOS reutiliza el c\u00f3digo de explotaci\u00f3n de triangulaci\u00f3n de 2023 en nuevos ataques masivos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como <strong>La Coru\u00f1a<\/strong> es una versi\u00f3n actualizada del mismo exploit que se utiliz\u00f3 en la campa\u00f1a Operaci\u00f3n Triangulaci\u00f3n en 2023, seg\u00fan <a href=\"https:\/\/securelist.com\/coruna-framework-updated-operation-triangulation-exploit\/119228\/\" rel=\"noopener\" target=\"_blank\">nuevos hallazgos<\/a> de Kaspersky.<\/p>\n<p>\u00abCuando se inform\u00f3 por primera vez sobre Coru\u00f1a, la evidencia p\u00fablica no era suficiente para vincular su c\u00f3digo con la triangulaci\u00f3n; las vulnerabilidades compartidas por s\u00ed solas no prueban la autor\u00eda compartida\u00bb, dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un comunicado.<\/p>\n<p>\u00abCoru\u00f1a no es un mosaico de exploits p\u00fablicos; es una evoluci\u00f3n mantenida continuamente del marco original de Operaci\u00f3n Triangulaci\u00f3n. La inclusi\u00f3n de comprobaciones para procesadores recientes como el M3 y versiones m\u00e1s recientes de iOS muestra que los desarrolladores originales han expandido activamente esta base de c\u00f3digo. Lo que comenz\u00f3 como una herramienta de espionaje de precisi\u00f3n ahora se implementa indiscriminadamente\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Coru\u00f1a fue documentado por primera vez por Google e iVerify a principios de este mes apuntando a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.<\/p>\n<p>Aunque el uso del kit fue utilizado por primera vez por un cliente de una empresa de vigilancia an\u00f3nima a principios del a\u00f1o pasado, desde entonces ha sido aprovechado por un presunto actor-estado-naci\u00f3n alineado con Rusia en ataques a pozos de agua en Ucrania y en una campa\u00f1a de explotaci\u00f3n masiva que emple\u00f3 un grupo de sitios web chinos falsos de apuestas y criptomonedas para entregar un malware de robo de datos conocido como PlasmaLoader (tambi\u00e9n conocido como PLASMAGRID).<\/p>\n<p>El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, incluidos CVE-2023-32434 y CVE-2023-38606, los cuales fueron <a href=\"https:\/\/thehackernews.com\/2023\/12\/most-sophisticated-iphone-hack-ever.html\" rel=\"noopener\" target=\"_blank\">Se utiliz\u00f3 por primera vez como d\u00eda cero en la Operaci\u00f3n Triangulaci\u00f3n, una sofisticada campa\u00f1a dirigida a dispositivos iOS que implic\u00f3 la explotaci\u00f3n de cuatro vulnerabilidades en el sistema operativo m\u00f3vil de Apple.<\/a><\/p>\n<p>Los \u00faltimos hallazgos de Kaspersky indicaron que los exploits del kernel tanto en Triangulation como en Coruna fueron creados por el mismo autor, y Coruna tambi\u00e9n utiliz\u00f3 cuatro exploits del kernel adicionales. El proveedor de seguridad ruso dijo que todos estos exploits se basan en el mismo marco de explotaci\u00f3n del kernel y comparten un c\u00f3digo com\u00fan.<\/p>\n<p>Espec\u00edficamente, el c\u00f3digo incluye soporte para los procesadores A17, M3, M3 Pro y M3 Max de Apple, junto con comprobaciones de iOS 17.2 y iOS versi\u00f3n 16.5 beta 4, la \u00faltima de las cuales parch\u00f3 las cuatro vulnerabilidades explotadas como parte de la Operaci\u00f3n Triangulaci\u00f3n. La verificaci\u00f3n para iOS 17.2, por otro lado, est\u00e1 destinada a tener en cuenta los exploits m\u00e1s nuevos, dijo Kaspersky.<\/p>\n<p>El punto de partida del ataque es cuando un usuario visita un sitio web comprometido en Safari, lo que hace que un stager tome las huellas digitales del navegador y realice el exploit apropiado seg\u00fan el navegador y la versi\u00f3n del sistema operativo. Esto, a su vez, allana el camino para la ejecuci\u00f3n de una carga \u00fatil que activa el exploit del kernel.<\/p>\n<p>\u00abDespu\u00e9s de descargar los componentes necesarios, la carga \u00fatil comienza a ejecutar exploits del kernel, cargadores Mach-O y el lanzador de malware\u00bb, dijo Kaspersky. \u00abLa carga \u00fatil selecciona un cargador Mach-O apropiado seg\u00fan la versi\u00f3n del firmware, la CPU y la presencia del permiso de servicio abierto iokit\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ciso-risk-comm-cert-li-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjoqpwvMkmQTpI6oFBcM5sjZJ4sJ2YplYYhb-ceY5aPYSXjkfcX-xHTDS-SMK3wzNy_kFuH4yN1umKPloMnloAmmRc5nXo64laMkM5neZzco95ZJXnRH-iV-6vAXRDv8vCSgWdcloM_rsNLykF6rlZbcXQ2n2fT-No23La_8rS67S8terJhozZU9JPmB9kO\/s728-e100\/ciso-light-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El lanzador es el principal orquestador responsable de iniciar las actividades posteriores a la explotaci\u00f3n, aprovechando el exploit del kernel para colocar y ejecutar el implante final. Tambi\u00e9n limpia los artefactos de explotaci\u00f3n para encubrir el rastro forense.<\/p>\n<p>\u00abOriginalmente desarrollado con fines de ciberespionaje, este marco ahora est\u00e1 siendo utilizado por ciberdelincuentes de un tipo m\u00e1s amplio, poniendo en riesgo a millones de usuarios con dispositivos sin parches\u00bb, dijo Larin. \u00abDado su dise\u00f1o modular y su facilidad de reutilizaci\u00f3n, esperamos que otros actores de amenazas comiencen a incorporarlo en sus ataques\u00bb.<\/p>\n<p>El desarrollo se produce cuando se filtr\u00f3 en GitHub una nueva versi\u00f3n del kit de explotaci\u00f3n de iPhone DarkSword. <a href=\"https:\/\/cyberscoop.com\/darksword-iphone-spyware-leak-ios-18-exploit-threat\/\" rel=\"noopener\" target=\"_blank\">planteando preocupaciones<\/a> que podr\u00eda equipar a m\u00e1s actores de amenazas con capacidades avanzadas para comprometer dispositivos, convirtiendo efectivamente lo que alguna vez fue una herramienta de pirater\u00eda de \u00e9lite en un marco de explotaci\u00f3n masiva. El lanzamiento de la nueva versi\u00f3n fue el primero. <a href=\"https:\/\/techcrunch.com\/2026\/03\/23\/someone-has-publicly-leaked-an-exploit-kit-that-can-hack-millions-of-iphones\/\" rel=\"noopener\" target=\"_blank\">reportado<\/a> por TechCrunch.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como La Coru\u00f1a es una versi\u00f3n actualizada del mismo exploit que se utiliz\u00f3 en la campa\u00f1a Operaci\u00f3n Triangulaci\u00f3n en 2023, seg\u00fan nuevos hallazgos de Kaspersky. \u00abCuando se inform\u00f3 por primera vez sobre Coru\u00f1a, la evidencia [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[233,376,428,24,106,404,427,1152,1262,1295,1296],"class_list":["post-373","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-ataques","tag-codigo","tag-coruna","tag-cyberdefensa-mx","tag-explotacion","tag-ios","tag-kit","tag-masivos","tag-nuevos","tag-reutiliza","tag-triangulacion"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/373","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=373"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/373\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=373"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=373"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=373"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}