Una sofisticada herramienta de espionaje ha pasado de manos de contratistas gubernamentales a cibercriminales asiáticos, demostrando que las armas digitales de grado militar eventualmente se vuelven en nuestra contra.
El desarrollo de armas cibernéticas tiene un grave problema de contención. Hoy, 4 de marzo de 2026, informes basados en descubrimientos del Grupo de Inteligencia de Amenazas de Google (GTIG) revelan la existencia de “Coruna”, un poderoso kit de explotación para iOS que ha caído en manos de cibercriminales a escala masiva.
También conocido en el bajo mundo como CryptoWaters, este marco de trabajo es una obra maestra de la ingeniería maliciosa. Está diseñado específicamente para atacar modelos de Apple iPhone que ejecutan versiones de iOS comprendidas entre la 13.0 y la 17.2.1. Afortunadamente, los investigadores confirman que no es efectivo contra la versión más reciente del sistema operativo de Apple.
La Anatomía de “Coruna”
El valor técnico central de este kit radica en su gigantesca e integral colección de vulnerabilidades para iOS.
- Coruna cuenta con cinco cadenas de explotación completas para el sistema operativo de Apple.
- En total, alberga 23 exploits diferentes.
- Los exploits más avanzados del kit utilizan técnicas de explotación que no son de conocimiento público e incluyen complejas evasiones de mitigación.
- Las piezas del exploit están conectadas de forma natural y se combinan utilizando marcos de utilidad comunes gracias a una ingeniería extremadamente bien diseñada.
- El kit incluye exploits específicos (bautizados como “Photon” y “Gallium”) que aprovecharon vulnerabilidades utilizadas previamente como zero-days en la infame campaña de espionaje “Operation Triangulation”.
De Espías a Ladrones: La proliferación del malware
La historia de cómo Coruna llegó a usarse masivamente es un ejemplo de manual sobre el activo mercado de exploits de segunda mano.
La firma de seguridad móvil iVerify señaló que este marco tiene serias similitudes con desarrollos anteriores creados por actores de amenazas afiliados al gobierno de los Estados Unidos. Desde febrero de 2025, el kit ha circulado entre múltiples manos: pasó de ser una operación de vigilancia comercial, a ser utilizado por un atacante respaldado por un gobierno, hasta finalmente terminar (para diciembre de 2025) en manos de un actor de amenazas operando desde China y motivado netamente por el robo financiero.
Cómo ataca Coruna
El ataque comienza de manera silenciosa cuando la víctima visita una página web comprometida, la cual ejecuta un framework de JavaScript.
- Primero, el script toma una “huella digital” del dispositivo para verificar si es real y extrae detalles precisos, incluyendo el modelo exacto de iPhone y su versión de software.
- Basado en esos datos, carga el exploit de Ejecución Remota de Código (RCE) de WebKit más adecuado para esa víctima.
- Luego, ejecuta una omisión del código de autenticación de puntero (PAC bypass) para tomar el control total del teléfono.
En diciembre de 2025, un grupo criminal (rastreado como UNC6691) comenzó a inyectar el kit Coruna a través de un iFrame oculto en sitios web falsos de finanzas chinos. El objetivo de este grupo era entregar un binario llamado PlasmaLoader (o PLASMAGRID). Este letal implante está diseñado para decodificar códigos QR de imágenes y exfiltrar billeteras de criptomonedas e información confidencial de aplicaciones como MetaMask, Base, Bitget Wallet y Exodus.
Para mantener la persistencia, el implante utiliza un algoritmo de generación de dominios (DGA) personalizado que usa la palabra “lazarus” como semilla para generar dominios predecibles .xyz, y utiliza el DNS público de Google para validar si están activos.
El Talón de Aquiles de Coruna
A pesar de su extrema sofisticación, el malware tiene un punto ciego interesante. Coruna omite su ejecución y aborta el ataque si detecta que el dispositivo de la víctima se encuentra en el “Modo de aislamiento” (Lockdown Mode) de Apple, o si el usuario está navegando en modo privado.
