El Grupo de Inteligencia de Amenazas de Google publicó una investigación en la que detalla un sofisticado marco de exploits para iOS llamado Coruna, que contiene 23 vulnerabilidades repartidas en cinco cadenas de exploits completas y que fue utilizado por presuntos operadores de espionaje rusos y estafadores de criptomonedas chinos a lo largo de 2025.
La firma de seguridad móvil iVerify, por su parte, concluyó que la base de código muestra rasgos característicos de herramientas desarrolladas por el gobierno de EE. UU., calificándolo como el primer caso conocido de capacidades de iOS, probablemente de un Estado nación, reutilizadas para un uso criminal masivo.
Todas las vulnerabilidades explotadas por Coruna han sido corregidas en las versiones actuales de iOS. Los dispositivos que ejecutan iOS 17.2.1 y anteriores, lanzados hasta diciembre de 2023, siguen siendo los afectados.
Qué ocurrió
Google rastrea Coruna a través de tres operadores distintos durante 2025. Apareció por primera vez en febrero en una cadena de exploits utilizada por un cliente de un proveedor comercial de vigilancia no identificado.
Para el verano, el mismo framework de JavaScript apareció como iframes ocultos en sitios web ucranianos comprometidos, que apuntaban selectivamente a usuarios de iPhone por geolocalización, y se atribuyó a UNC6353, un presunto grupo de espionaje ruso. A finales de 2025, el kit completo se había desplegado en cientos de falsos sitios web en chino de criptomonedas y juegos de azar, comprometiendo una cifra estimada de 42.000 dispositivos en una sola campaña.
El kit opera como un ataque drive‑by: no se requiere ningún clic. Cuando la víctima visita un sitio comprometido, se activa en silencio JavaScript, que toma la huella del dispositivo y entrega una cadena de exploits personalizada. La carga útil adaptada para el crimen escanea frases semilla BIP39, recopila datos de MetaMask y Trust Wallet y exfiltra credenciales hacia servidores de mando y control.
Leer también: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Por qué importa
El cofundador de iVerify, Rocky Cole, exanalista de la NSA, afirmó que la base de código de Coruna es «sobresaliente» y comparte huellas de ingeniería con módulos vinculados públicamente en el pasado a programas del gobierno estadounidense, incluidos componentes de Operation Triangulation, una campaña de iOS de 2023 que Rusia atribuyó oficialmente a la NSA. Washington nunca ha comentado esa acusación.
Cole describió la situación como un posible «momento EternalBlue», en referencia al exploit para Windows desarrollado por la NSA y robado en 2017 que posteriormente permitió los ataques WannaCry y NotPetya.
Google señaló la existencia de un activo «mercado de segunda mano» para frameworks de exploits de día cero, y el rastro de Coruna refuerza cómo herramientas de nivel estatal migran a través de intermediarios hacia infraestructuras criminales sin un punto de traspaso claro.
La NSA no respondió a las solicitudes de comentarios. Apple ha publicado parches que cubren todas las vulnerabilidades de Coruna conocidas.
Leer a continuación: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act