Especialistas de Google Threat Intelligence Group (GTIG) han documentado un exploit kit avanzado para iOS, denominado Coruna (también conocido como CryptoWaters), capaz de atacar dispositivos Apple con versiones de iOS 13.0 a iOS 17.2.1. El framework agrupa cinco cadenas completas de explotación y 23 vulnerabilidades distintas. Aunque las versiones actuales de iOS ya corrigen estos fallos, el nivel de ingeniería observado sitúa a Coruna entre las plataformas ofensivas más sofisticadas dirigidas contra iPhone y iPad.
Exploit kit Coruna para iOS: arquitectura y técnicas de explotación
Coruna está diseñado como un framework modular: los exploits comparten utilidades comunes y pueden combinarse en diferentes secuencias de ataque. La intrusión comienza mediante código JavaScript ejecutado en el navegador de la víctima, que identifica modelo de dispositivo y versión exacta de iOS para cargar el exploit de WebKit de ejecución remota de código (RCE) más adecuado. A partir de ahí, se encadenan módulos para bypassear Pointer Authentication Code (PAC), escapar de la sandbox del navegador y escalar privilegios hasta el núcleo del sistema.
Entre los fallos explotados destaca CVE-2024-23222, una vulnerabilidad de type confusion en WebKit. Este tipo de errores se produce cuando el motor de JavaScript trata un dato como si fuera de un tipo distinto al real, lo que puede permitir escribir o leer memoria fuera de los límites previstos. Apple corrigió esta brecha con iOS 17.3 en enero de 2024, subrayando la importancia de mantener iOS y Safari siempre actualizados para bloquear cadenas de explotación similares.
De exploit de spyware comercial a herramienta de cibercrimen financiero
GTIG rastrea el uso de Coruna hasta febrero de 2025, cuando fue detectado en la infraestructura de un proveedor comercial de spyware. Posteriormente, el mismo kit apareció asociado a grupos supuestamente vinculados a Estados, y para diciembre de 2025 ya estaba en manos de una banda cibercriminal china con motivación financiera (UNC6691). Este recorrido refuerza la hipótesis de un mercado “de segunda mano” de zero-days, donde explots inicialmente exclusivos para inteligencia gubernamental terminan revendidos y reutilizados en campañas puramente criminales.
Campañas dirigidas con Coruna: sitios ucranianos y páginas financieras falsas en China
Ataques selectivos contra usuarios de iPhone en Ucrania
En julio de 2025, el mismo framework JavaScript de Coruna fue hallado en el dominio cdn.uacounter[.]com. Desde ahí se inyectaba mediante un iFrame oculto en sitios ucranianos comprometidos, como tiendas en línea y páginas de servicios industriales. Un iFrame es un recuadro invisible que carga contenido externo dentro de una web legítima, ideal para ataques “drive‑by” silenciosos. GTIG atribuye esta campaña a la presunta agrupación de espionaje UNC6353, que distribuía los exploits de forma altamente selectiva según geolocalización y otros parámetros de perfilado.
Robo de criptomonedas en iOS con PlasmaLoader y Coruna
En diciembre de 2025, Coruna reapareció en un amplio conjunto de falsos sitios financieros y de criptomonedas chinos. Las páginas recomendaban acceder “desde un iPhone o iPad para una mejor experiencia”, y, una vez cumplida la condición, un iFrame oculto cargaba el exploit kit. La fase final era el loader PlasmaLoader (o PlasmaGrid), que se inyectaba en el proceso del sistema powerd para dificultar su detección y descargaba módulos específicos para robar monederos como MetaMask, Phantom, Exodus, BitKeep y otros.
El malware extraía seed phrases, datos de Apple Memos e información sensible adicional, cifrándola con AES antes de enviarla a los servidores de mando y control. Para resistir bloqueos, la infraestructura usaba un algoritmo de generación de dominios (DGA) basado en la cadena “lazarus”, creando múltiples dominios en la zona .xyz. Este enfoque complica la erradicación, ya que los dominios maliciosos pueden rotar de forma continua.
Capacidades avanzadas de Coruna, relación con Operation Triangulation y defensa en iOS
El análisis de GTIG muestra que Coruna proporciona a sus operadores RCE en WebKit, bypass de PAC, escape de sandbox, escalada a privilegios de kernel y elusión de Page Protection Layer (PPL). Los exploits incluyen docstrings y comentarios técnicos en inglés, indicativos de un desarrollo profesional y mantenido. Entre las 23 vulnerabilidades se encuentran CVE ya vistas en Operation Triangulation (CVE-2023-32434 y CVE-2023-38606), investigada por Kaspersky, si bien no se han hallado signos claros de reutilización directa de código entre ambas operaciones.
GTIG confirmó que Coruna no logra comprometer dispositivos con “Lockdown Mode” activado ni cuando se usa modo privado del navegador, lo que respalda la eficacia de los perfiles de alta seguridad de iOS frente a exploit kits complejos. En paralelo, el 5 de marzo de 2026 la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) añadió CVE-2021-30952, CVE-2023-41974 y CVE-2023-43000 al catálogo Known Exploited Vulnerabilities (KEV), obligando a las agencias federales a parchear antes del 26 de marzo de 2026. Para usuarios y organizaciones, las prioridades son claras: actualizar iOS y Safari sin demora, activar Lockdown Mode en contextos de alto riesgo, limitarse a sitios y apps oficiales y guardar las seed phrases de monederos en soportes offline. A nivel corporativo, resulta imprescindible un programa de gestión de vulnerabilidades, monitorización de dispositivos móviles y seguimiento de alertas de CISA y otros reguladores, reduciendo al mínimo la ventana de exposición frente a kits como Coruna.
