Google dijo que identificó un kit de explotación «nuevo y poderoso» denominado corona (también conocido como CryptoWaters) dirigido a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.
El kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits, dijo Google Threat Intelligence Group (GTIG). No es efectivo contra la última versión de iOS. Los hallazgos fueron reportados por primera vez por WIRED.
«El valor técnico principal de este kit de exploits radica en su colección completa de exploits para iOS, y los más avanzados utilizan técnicas de explotación no públicas y derivaciones de mitigación», según GTIG. «El marco que rodea el kit de exploits está extremadamente bien diseñado; todas las piezas del exploit están conectadas de forma natural y se combinan mediante marcos de utilidad y explotación comunes».
Se dice que el kit ha circulado entre múltiples actores de amenazas desde febrero de 2025, pasando de una operación de vigilancia comercial a un atacante respaldado por el gobierno y, finalmente, a un actor de amenazas con motivación financiera que opera desde China en diciembre.
Actualmente no se sabe cómo cambió de manos el kit de exploits, pero los hallazgos apuntan a un mercado activo para exploits de día cero de segunda mano, lo que permite a otros actores de amenazas reutilizarlos para sus propios objetivos. En un informe relacionado, iVerify dijo que el kit de explotación tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.
«Coruña es uno de los ejemplos más significativos que hemos observado de capacidades sofisticadas de software espía que proliferan desde proveedores comerciales de vigilancia hasta manos de actores estatales y, en última instancia, operaciones criminales a gran escala», dijo iVerify.
El proveedor de seguridad móvil dijo que el uso del sofisticado marco de explotación marca la primera explotación masiva observada contra dispositivos iOS, lo que indica que los ataques de software espía están pasando de ser altamente dirigidos a un despliegue amplio.
Google dijo que capturó por primera vez partes de una cadena de exploits de iOS utilizada por un cliente de una empresa de vigilancia anónima a principios del año pasado, con los exploits integrados en un marco de JavaScript nunca antes visto. El marco está diseñado para tomar huellas dactilares del dispositivo para determinar si es real y recopilar detalles, incluido el modelo de iPhone específico y la versión del software iOS que está ejecutando.
Luego, el marco carga el exploit de ejecución remota de código (RCE) de WebKit apropiado en función de los datos de huellas dactilares, seguido de la ejecución de una omisión del código de autenticación de puntero (PAC). El exploit en cuestión se relaciona con CVE-2024-23222, un error de confusión de tipos en WebKit que Apple parchó en enero de 2024 con iOS 17.3 y iPadOS 17.3 y iOS 16.7.5 y iPadOS 16.7.5.
En julio de 2025, se detectó el mismo marco de JavaScript en el dominio «cdn.uacounter(.)com», que se cargó como un iFrame oculto en sitios web ucranianos comprometidos. Esto incluía sitios web que ofrecían equipos industriales, herramientas minoristas, servicios locales y comercio electrónico. Se considera que un presunto grupo de espionaje ruso llamado UNC6353 está detrás de la campaña.
Lo interesante de la actividad fue que el marco se entregó sólo a ciertos usuarios de iPhone desde una geolocalización específica. Los exploits implementados como parte del marco consistieron en CVE-2024-23222, CVE-2022-48503 y CVE-2023-43000, el último de los cuales es una falla de uso después de la liberación en WebKit.
Vale la pena señalar que Apple solucionó CVE-2023-43000 en iOS 16.6 y iPadOS 16.6, lanzados en julio de 2023. Sin embargo, las notas de la versión de seguridad se actualizaron para incluir una entrada para la vulnerabilidad solo el 11 de noviembre de 2025.
La tercera vez que se detectó el marco de JavaScript en la naturaleza fue en diciembre de 2025. Se descubrió que un grupo de sitios web chinos falsos, la mayoría de ellos relacionados con finanzas, abandonaban el kit de explotación de iOS después de indicar a los usuarios que los visitaran desde un iPhone o iPad para una mejor experiencia de usuario. La actividad se atribuye a un grupo de amenazas rastreado como UNC6691.
Una vez que se accede a estos sitios web a través de un dispositivo iOS, se inyecta un iFrame oculto para entregar el kit de explotación Coruna que contiene CVE-2024-23222. La entrega del exploit, en este caso, no estuvo limitada por ningún criterio de geolocalización.
Un análisis más detallado de la infraestructura del actor de amenazas condujo al descubrimiento de una versión de depuración del kit de exploits, junto con varias muestras que cubren cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 exploits que abarcan versiones desde iOS 13 hasta iOS 17.2.1.
Algunos de los CVE explotados por el kit y las correspondientes versiones de iOS a las que apuntaban se enumeran a continuación:
«Photon y Gallium están explotando vulnerabilidades que también se utilizaron como día cero como parte de la Operación Triangulación», dijo Google. «El kit de explotación Coruna también incorpora módulos reutilizables para facilitar la explotación de las vulnerabilidades antes mencionadas».
En junio de 2023, el gobierno ruso afirmó que la campaña era obra de la Agencia de Seguridad Nacional de EE. UU., acusándola de piratear «varios miles» de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de una «operación de reconocimiento».
Se ha observado que UNC6691 utiliza el exploit como arma para entregar un binario stager con nombre en código PlasmaLoader (también conocido como PLASMAGRID) que está diseñado para decodificar códigos QR a partir de imágenes y ejecutar módulos adicionales recuperados de un servidor externo, lo que le permite filtrar billeteras de criptomonedas o información confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask, entre otras.
«El implante contiene una lista de C2 codificados, pero tiene un mecanismo de respaldo en caso de que los servidores no respondan», añadió GTIG. «El implante incorpora un algoritmo de generación de dominio personalizado (DGA) que utiliza la cadena ‘lazarus’ como semilla para generar una lista de dominios predecibles. Los dominios tendrán 15 caracteres y utilizarán .xyz como TLD. Los atacantes utilizan el sistema de resolución de DNS público de Google para validar si los dominios están activos».
Un aspecto notable de Coruña es que omite la ejecución en dispositivos en modo de bloqueo o si el usuario se encuentra en navegación privada. Para contrarrestar la amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mayor seguridad.