Coruna: Kit de Exploits iOS Afecta a Versiones 13 a 17.2.1
Publicado el
Introducción
Se ha descubierto un nuevo kit de exploits denominado Coruna, que ataca modelos de iPhone con versiones de iOS entre la 13.0 y la 17.2.1. Este kit incluye un total de 23 exploits organizados en cinco cadenas completas de explotación, según el Grupo de Inteligencia de Amenazas de Google (GTIG).
Detalles del Kit
El kit no resulta efectivo contra la última versión de iOS, pero su valor técnico radica en su amplia colección de exploits, algunos de los cuales emplean técnicas de explotación no públicas y métodos de evasión de mitigaciones. Según GTIG, la ingeniería detrás del kit es excepcional, permitiendo que los distintos exploits se conecten de manera natural a través de un marco común de utilidades y explotación.
Desde febrero de 2025, el kit ha sido utilizado por varios actores de amenazas, comenzando por operaciones de vigilancia comerciales, luego pasando a atacantes respaldados por gobiernos, y finalmente a grupos motivados financieramente desde China. Aunque no se conoce el mecanismo exacto de su transferencia entre actores, la situación sugiere un mercado activo para exploits de día cero de segunda mano, que permite su reutilización por otros grupos con diferentes objetivos.
Comparaciones y Análisis
Un informe de iVerify indica que este kit muestra similitudes con otros marcos desarrollados por actores de amenazas relacionados con el gobierno de Estados Unidos. Este caso de Coruna representa un ejemplo significativo de capacidades avanzadas de spyware que han pasado de ser herramientas de vigilancia comerciales a operaciones criminales a gran escala.
La primera captura de partes de una cadena de exploits de iOS por parte de Google se produjo a principios del año pasado, vinculado a un cliente de una empresa de vigilancia no identificada. Este marco incluye un sistema de JavaScript diseñado para identificar el dispositivo y recopilar información, como el modelo específico de iPhone y la versión del software iOS. Posteriormente, carga el exploit de ejecución remota de código (RCE) de WebKit adecuado según los datos obtenidos y ejecuta un bypass de código de autenticación de punteros (PAC).
Vulnerabilidades Específicas
Una de las vulnerabilidades destacadas es CVE-2024-23222, un error de confusión en WebKit, que fue solucionado por Apple en enero de 2024 con las versiones iOS 17.3 y iPadOS 17.3. Esta vulnerabilidad se ha utilizado en ataques dirigidos a iPhones y iPads a través de diversos sitios web comprometidos. En julio de 2025, el mismo marco JavaScript fue detectado en el dominio cdn.uacounter[.]com, cargado como un iFrame oculto en varios sitios web ucranianos, relacionados con equipos industriales y comercio electrónico. Se atribuye esta actividad a un grupo de espionaje ruso denominado UNC6353.
Los exploits en este marco incluyen varias vulnerabilidades, como CVE-2022-48503 y CVE-2023-43000, siendo esta última un error de uso después de liberar en WebKit. Aunque Apple abordó esta vulnerabilidad en julio de 2023, la entrada en las notas de seguridad se actualizó solo en noviembre de 2025.
Recientes Actividades Maliciosas
En diciembre de 2025, se detectó nuevamente el marco en un grupo de sitios web falsos chinos, la mayoría de ellos relacionados con finanzas, que instaban a los usuarios a acceder desde dispositivos iOS para una mejor experiencia. Esta actividad se ha asociado con otro grupo de amenazas conocido como UNC6691. Una vez que se accede a estos sitios desde un dispositivo iOS, se inyecta un iFrame oculto que entrega el kit de exploits Coruna.
Conclusión
El kit de exploits Coruna representa una amenaza significativa para los usuarios de iOS, evidenciando un cambio en la naturaleza de los ataques de spyware, que están pasando de ser altamente dirigidos a una explotación más amplia. Con un total de 23 exploits identificados, es crucial que los usuarios mantengan sus dispositivos actualizados y tomen medidas de seguridad adecuadas para protegerse contra estas vulnerabilidades.