Coruna, una amenaza limitada, pero con una historia interesante
En el mundo de la ciberseguridad, un exploit de cero clic es un ataque por el que un solo se puede comprometer un dispositivo sin que el usuario haga nada. Este tipo de vulnerabilidades son armas extremadamente raras que se pueden comercializar por millones de dólares.
Ahora un ataque de este tipo se ha descubierto dentro de un sofisticado kit de hackeo para iPhone, presuntamente desarrollado con fines gubernamentales en Estados Unidos, que habría terminado en manos de espías extranjeros y ciberdelincuentes.
Bautizado como “Coruna”, el kit incluye cinco cadenas completas de ataque que explotan 23 vulnerabilidades distintas en iOS. Pero lo más inquietante no es solo su sofisticación técnica, sino su recorrido.
Investigaciones conjuntas llevadas a cabo por el Threat Intelligence Group de Google y de la firma de seguridad móvil iVerify concluyen que Coruna pasó, en el transcurso de un año, de ser una herramienta de vigilancia altamente controlada a un arma utilizada por presuntos espías rusos y, posteriormente, por grupos criminales de habla china dedicados al robo de criptomonedas.
Un arma con posible origen estatal
Aunque el informe de Google no identifica al creador original y solo menciona a un “cliente de una empresa de vigilancia”, el análisis de iVerify apunta con fuerza al gobierno de Estados Unidos o a contratistas vinculados con el mismo.
El código de Coruna es modular, altamente pulido y contiene documentación extensa redactada por hablantes nativos de inglés. Además, investigadores detectaron componentes previamente asociados con “Operation Triangulation”, la campaña de 2023 que atacó a Kaspersky y que Rusia atribuyó públicamente a la National Security Agency (NSA).
Rocky Cole, cofundador de iVerify y ex empleado de la NSA, sostiene que el framework muestra coherencia interna y calidad profesional, lo que sugiere que fue desarrollado como un proyecto integral por una sola entidad altamente especializada.
Cole compara la filtración con el caso de “EternalBlue”, la herramienta de la NSA robada en 2017 que facilitó ciberataques devastadores como WannaCry y NotPetya. “Este es el momento EternalBlue del malware móvil”, advierte.
Cómo se perdió el control del kit sigue siendo un misterio. Expertos apuntan al opaco mercado de intermediarios de exploits “zero-day”, donde no siempre existen acuerdos de exclusividad y las herramientas pueden venderse al mejor postor.
El recorrido de Coruna: de espionaje selectivo a fraude masivo
Google identificó tres fases claras en la proliferación del kit:
1. Uso inicial (febrero del año pasado)
Fue detectado por primera vez en manos de un cliente de una empresa de vigilancia.
2. Campaña rusa (verano)
El mismo framework reapareció en una operación de espionaje atribuida al grupo UNC6353. Los atacantes ocultaron el exploit en un iFrame invisible dentro de sitios web ucranianos comprometidos. El ataque se dirigía a usuarios específicos de iPhone según su geolocalización.
3. Explotación masiva con fines financieros (finales de año)
El kit terminó en manos del grupo UNC6691, presuntamente con base en China. A diferencia del espionaje selectivo anterior, esta fase adoptó una estrategia de “watering hole”, infectando sitios falsos en chino relacionados con criptomonedas y apuestas para atacar indiscriminadamente a los visitantes.
Durante esta última etapa, los atacantes cometieron un error crítico: desplegaron accidentalmente una versión de desarrollo del kit, exponiendo detalles internos y confirmando el nombre “Coruna”.
¿Cómo funciona el ataque?
Coruna afecta a iPhones con versiones desde iOS 13.0 (septiembre de 2019) hasta iOS 17.2.1 (diciembre de 2023). Esto significa que en ningún momento se vieron afectados los iPhones con sistema operativo actualizado.
El proceso comenzaba cuando la víctima visitaba un sitio web comprometido mediante Safari. Un script oculto analizaba el modelo del dispositivo y la versión de iOS. Si el usuario tenía activado el modo de navegación privada o el Modo Aislamiento (Lockdown Mode), el exploit se abortaba para evitar detección.
Si el dispositivo era vulnerable, el kit ejecutaba un exploit de ejecución remota de código en WebKit, incluyendo el zero-day CVE-2024-23222, y aplicaba técnicas avanzadas para eludir mecanismos de seguridad como los Pointer Authentication Codes (PAC).
Una vez dentro del sistema, Coruna desplegaba un componente llamado PlasmaLoader (PLASMAGRID), inyectándose en powerd, un proceso con privilegios de root (super-usuario)en iOS.
Curiosamente, la carga maliciosa final añadida por los ciberdelincuentes chinos era mucho menos sofisticada que el exploit original. Su objetivo era puramente financiero:
- Decodificar códigos QR almacenados en imágenes.
- Buscar palabras clave como “frase de respaldo” o “cuenta bancaria” en notas.
- Interceptar aplicaciones de billeteras cripto como MetaMask, Trust Wallet, Phantom y Coinbase Wallet.
Según el análisis de servidores de comando y control, esta campaña financiera habría comprometido aproximadamente 42,000 dispositivos.
¿Cómo protegerse?
El caso Coruna subraya una realidad incómoda: incluso las herramientas desarrolladas por actores estatales pueden escapar de su control y ser reutilizadas con fines criminales.
También reaviva el debate sobre las puertas traseras en sistemas cifrados, ya que demuestra que cualquier vulnerabilidad intencional puede acabar siendo explotada por terceros, sobre todo ahora que la IA facilita tanto el trabajo de los hackers.
La buena noticia es que Apple ya había corregido todas las vulnerabilidades utilizadas por Coruna, antes incluso de que este malware fuera desarrollado.
Para la mayoría de los usuarios, la recomendación es clara:
siempre actualizar el iPhone a la última versión de iOS lo antes posible.
El Modo Aislamiento bloquea eficazmente este tipo de amenazas, pero está pensado para perfiles de alto riesgo como periodistas o disidentes. Para el público general, mantener el sistema actualizado es la defensa más efectiva frente a esta sofisticada arma digital que terminó fuera de control.