El Grupo de Inteligencia de Amenazas de Google publicó una investigación en la que detalla un sofisticado framework de exploits para iOS llamado Coruna, que contiene 23 vulnerabilidades repartidas en cinco cadenas de explotación completas, y que fue utilizado a lo largo de 2025 por presuntos operativos de espionaje rusos y estafadores chinos de criptomonedas.
La firma de seguridad móvil iVerify determinó por separado que la base de código presenta rasgos característicos de herramientas desarrolladas por el gobierno de EE. UU., calificándolo como el primer caso conocido de capacidades de iOS de un posible Estado nación reutilizadas para un uso criminal masivo, según concluyó.
Todas las vulnerabilidades explotadas por Coruna han sido parcheadas en las versiones actuales de iOS. Los dispositivos que ejecutan iOS 17.2.1 y anteriores, lanzados hasta diciembre de 2023, siguen siendo el rango afectado.
Qué ocurrió
Google rastreó Coruna a través de tres operadores distintos durante 2025. Apareció por primera vez en febrero en una cadena de explotación utilizada por un cliente de un proveedor comercial de vigilancia no identificado.
Para el verano, el mismo framework de JavaScript apareció como iframes ocultos en sitios web ucranianos comprometidos, que apuntaban selectivamente a usuarios de iPhone por geolocalización; esta actividad se atribuyó a UNC6353, un presunto grupo de espionaje ruso. A finales de 2025, el kit completo se había desplegado en cientos de falsos sitios web en chino de criptomonedas y juegos de azar, comprometiendo un estimado de 42.000 dispositivos en una sola campaña.
El kit funciona como un ataque drive‑by: no se requiere clic. Cuando un objetivo visita un sitio comprometido se dispara silenciosamente código JavaScript que realiza el fingerprinting del dispositivo y entrega una cadena de exploits adaptada. La carga útil adaptada al crimen busca frases semilla BIP39, recolecta datos de MetaMask y Trust Wallet, y exfiltra credenciales hacia servidores de comando y control.
Lea también: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Por qué importa
El cofundador de iVerify, Rocky Cole —exanalista de la NSA— dijo que la base de código de Coruna es «sobresaliente» y comparte huellas de ingeniería con módulos vinculados públicamente en el pasado a programas del gobierno estadounidense, incluidos componentes de Operation Triangulation, una campaña de iOS de 2023 que Rusia atribuyó oficialmente a la NSA. Washington nunca ha comentado esa acusación.
Cole describió la situación como un posible «momento EternalBlue», en referencia al exploit de Windows desarrollado por la NSA que fue robado en 2017 y posteriormente permitió los ataques WannaCry y NotPetya.
Google señaló la existencia de un activo «mercado de segunda mano» para frameworks de exploits de día cero, y el rastro de Coruna refuerza cómo las herramientas de nivel estatal migran a través de intermediarios hacia infraestructuras criminales sin un punto claro de traspaso.
La NSA no respondió a las solicitudes de comentarios. Apple ha publicado parches que cubren todas las vulnerabilidades de Coruna conocidas.
Lea a continuación: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act