Coruna, el kit de hackeo del iPhone del Gobierno de EEUU que ahora usan espías rusos y ladrones de criptomonedas

El hecho de que los iPad y los iPhone de Apple hayan sido aprobados para manejar información clasificada de la OTAN solo deja entrever una cosa: la obsesiva fijación de la empresa por la seguridad es una protección que muchos usuarios adoran.

No obstante, un nuevo suceso tiene a los investigadores en vilo. El Grupo de Inteligencia de Amenazas de Google (GTIG) informó sobre un kit de explotación dirigido a ciertos modelos de iPhone que podría haber sido desarrollado por EE.UU y que ahora está en manos de hackers.

Un comunicado del GTIG y una investigación de WIRED citando a la empresa iVerify apuntan a que este kit de herramientas de hackeo se estaría aprovechando para robar activos de criptomonedas en China, tras haber sido utilizado en Ucrania en el contexto de la invasión rusa.

Un kit de herramientas de hackeo pasa de manos

Se trata de Coruna, un kit de explotación de vulnerabilidades pensado específicamente para modelos de iPhone que dispongan de versiones de iOS 13.0 y 17.2.1. Contiene, dice el GTIG, hasta cinco cadenas completas de explotación de iOS que se valen de 23 exploits.

Coruna destaca por incluir una "completa colección" de exploits que aprovechan vulnerabilidades de iOS para penetrar en el sistema. Algunos de los más avanzados usan "técnicas de explotación no públicas y elusiones de mitigación" de alto calado, expone el Grupo.

iPhone 5 Neilpcronin Wikipedia Commons

Tal y como relata Google, Coruna habría sido rastreada a lo largo de todo el año 2025. En un principio se concibió para su uso en operaciones selectivas realizadas por un "cliente de un proveedor de vigilancia". Luego pasó a manos de hackers rusos.

Dichos hackers, pertenecientes al grupo UNC6353. aprovecharon las capacidades de Coruna para atacar a usuarios ucranianos en labores de espionaje ruso. El grupo estaría directamente respaldado por el estado de Putin.

La línea de tiempo indica que este kit fue utilizado por otro grupo que, en este caso, operaba en China. UNC6691 aprovechó el kit de exploits para robar carteras de criptos en territorio chino. Tras esto, el GTIG pudo hacerse con una versión completa de solución de software.

El rastro finaliza en diciembre, cuando el Grupo de Cloud Security de Google detectó que el kit al completo estaba siendo usado para robar carteras de criptomoneda en sitios relacionados con el juego y las apuestas.

Fotomontaje inspirado en iOS 26 Manuel Ramírez

Mientras que los hackers rusos usaron Coruna para ocultar código malicioso en sitios webs ucranianos, el grupo operativo en Asia realizó una campaña de hackeo infectando páginas web de criptos y gambling para distribuir un malware que robaba estas divisas.

Hablamos de un sofisticado kit de herramientas que sirve específicamente para hackear iPhones, incluyendo sistemas que pueden desde instalar software malicioso en un dispositivo hasta eludir todas sus defensas de forma sencilla.

En total, Coruna aprovecha nada menos que 23 vulnerabilidades de iOS, una cantidad bastante grande que deja entrever que el conjunto ha sido desarrollado por una entidad con muchos recursos.

Aunque el GTIG no ha entrado a explicar de dónde proviene este kit de herramientas, la empresa iVerify ha dado pistas que apuntarían a una posibilidad preocupante: de que Coruna hubiese sido desarrollada para el Gobierno de los Estados Unidos.

Ilustración de un hacker usando IA en un atque informático

Esta empresa, dedicada a la búsqueda de amenazas enfocadas a dispositivos móviles, publicó un comunicado paralelo en el que hablaban de Coruna y sus pesquisas relacionadas con el conjunto de herramientas.

En palabras de iVerify, la cadena de explotación que usó UNC6691 para realizar sus ataques en China, presenta importantes similitudes "con frameworks previos desarrollados por actores de amenazas vinculados al gobierno estadounidense".

Aplicando ingeniería inversa la muestra de Coruna denominada CryptoWaters (que usa este mismo framework de explotación y que sirvió para infectar sitios web chinos) iVerify descubrió que esta comparte varios componentes con otras herramientas utilizadas en operaciones ligadas a la inteligencia de EE.UU.

Por ejemplo, iVerify y Google exponen cómo Coruna comparte similitudes con componentes utilizados en Operación Triangulación, un sofisticado ataque precisamente dirigido a dispositivos iOS de la firma de seguridad Kaspersky.

Mapa de ciberataques de Kaspersky Omicrono Omicrono

El ataque, que ejecutaba una cadena de cuatro ataques zero day, se identificó en junio de 2023. Esta operación pretendía espiar y extraer mensajes y otros datos sensibles de los empleados de la compañía de ciberseguridad.

El objetivo no era otro que recopilar información, en forma de conversaciones, datos de geolocalización, etcétera. La firma Kaspersky anunció en junio de 2023 que estos ataques se habían descubierto en algunos dispositivos iOS de sus empleados.

Algunos de los rastros detectados por Kaspersky datan de al menos 2019. El caso causó un revuelo tal que llevó a que el gobierno ruso acusara directamente a la Agencia de Seguridad Nacional (NSA) de los EE.UU de ser los autores de estos ataques.

Luego está el código. Rocky Cole, cofundador de iVerify, ha explicado a WIRED que el código es muy sofisticado, lo que es indicativo de que en el desarrollo se destinaron importantes cantidades de recursos. Afirma que aparentemente fue escrito por desarrolladores de habla inglesa.

Imagen representativa de hackers en acción. X

Cole habla de posiblemente millones de dólares. No solo eso; tiene el "sello distintivo de otros módulos atribuidos públicamente al gobierno estadounidense". Por ende, Coruna se trataría de un kit muy valioso desarrollado en el seno de la inteligencia norteamericana.

Un kit que ya está pasando entre manos de hackers internacionales y que ahora, al parecer, estaría en circulación. Así, los atacantes estarían readaptando este sistema para atacar principalmente a usuarios de iPhone.

Cabe aclarar que, por un lado, no se ha confirmado totalmente que Coruna haya sido desarrollado por el gobierno de Estados Unidos. E incluso de ser así, se desconoce cómo ha pasado a ser utilizado por grupos de atacantes ajenos.

El cofundador hace referencia directa al caso de EternalBlue, un exploit desarrollado por la NSA y que se filtró en 2017. El acceso a este exploit fue clave en la proliferación de uno de los ataques de ransomware más potentes de la historia, como fue el de WannaCry en mayo de ese mismo año.

Montaje de la bandera de Estados Unidos y un hacker. Unsplash/NC Omicrono

Es cierto que Coruna ha ido perdiendo efectividad a medida que Apple ha ido corrigiendo las vulnerabilidades que aprovecha el kit en sus últimas versiones de sistema operativo. El GTIG recuerda que estos exploits solo sirven en dos versiones de iOS muy concretas: iOS 13 e iOS 17.2.1.

Concretamente, se centran en vulnerabilidades del framework de WebKit que afecta a Safari. De base, esto supone un impedimento para las campañas de hackeo masivas, ya que Coruna no puede utilizarse en versiones de iOS más modernas.

De hecho, Google recalca que Coruna ni siquiera ataca al iPhone si este tiene el llamado Modo de Bloqueo activado. Este modo, también conocido como Lockdown Mode, es una capa de seguridad extra, el usuario se ve protegido contra ciertos tipos de amenazas digitales.

Está pensado sobre todo para usuarios considerados de alto riesgo por las esferas de ciberseguridad. Por ejemplo, este sector atañe a activistas, periodistas, empleados gubernamentales, etcétera.

Ciberseguridad en Estados Unidos Omicrono Omicrono

iVerify recuerda que Coruna ha infectado numerosos teléfonos en todo el mundo, en el orden de varias decenas de miles. Solo en las operaciones ubicadas en China, iVerify determinó que se podrían haber visto afectados unos 42.000 dispositivos.

El mayor peligro, expone la empresa de ciberseguridad, radica en la posibilidad de que los grupos de explotación modifiquen este kit aprovechando su capacidad y desarrollen técnicas avanzadas que se ajusten a vulnerabilidades más recientes.