El equipo de inteligencia sobre amenazas de Google publicó recientemente un informe que revela un software espía llamado Coruna. Originalmente se suponía que este software espía sería desarrollado por un equipo nacional de piratas informáticos, pero se desconoce por qué se filtró en línea y comenzó a ser utilizado por varios piratas informáticos.
La herramienta Coruña contiene 5 cadenas completas de explotación de vulnerabilidades de iOS, que involucran un total de 23 vulnerabilidades de seguridad, la más compleja de las cuales utiliza tecnologías no públicas y medidas de mitigación de vulnerabilidades. Las versiones de iOS de destino son iOS 13.0 ~ iOS 17.2.1.

El equipo de inteligencia sobre amenazas de Google observó por primera vez actividad relacionada con el kit de explotación Coruña en febrero de 2025. El ataque se atribuyó a un cliente de un proveedor de vigilancia comercial (el cliente realizó el pedido y el proveedor ayudó a lanzar el ataque).
En ese momento, los investigadores obtuvieron el marco de entrega de JavaScript y un exploit para CVE-2024-23222, una vulnerabilidad de WebKit que permite a los atacantes ejecutar código remoto en iOS 17.2.1. Apple solucionó la vulnerabilidad en iOS 17.3.
Las vulnerabilidades relacionadas también involucraron un ataque de triangulación contra Kaspersky, un ataque extremadamente sofisticado en el que los dispositivos iOS utilizados por varios empleados de Kaspersky Lab fueron implantados con malware y monitoreados.
Ahora que estas vulnerabilidades se han solucionado, la herramienta Coruña solo puede lanzar ataques contra iOS 17.2.1 y versiones anteriores. Sin embargo, en realidad, muchos usuarios no están dispuestos a actualizar o los dispositivos iOS ya no admiten nuevas versiones posteriores y no han podido actualizar.
Por eso ahora algunos grupos de hackers con intereses económicos están empezando a utilizar la herramienta Coruña para lanzar ataques. El propósito de estos hackers es sumamente sencillo, principalmente robar las frases mnemotécnicas de las billeteras de criptomonedas en los álbumes de fotos de los usuarios, es decir, se enfocan en robar criptomonedas.
El proceso es el siguiente:
Lanzar una amplia red o lanzar ataques contra usuarios activos en el campo de las criptomonedas. Después de que el usuario objetivo esté infectado con el malware Coruna, el malware escaneará el álbum de fotos del usuario e identificará si hay fotos con frases mnemotécnicas.
Si hay una palabra mnemotécnica, la foto que contiene la frase mnemotécnica se cargará directamente en el servidor C2. El hacker no está interesado en otras fotos guardadas por el usuario. Por lo tanto, si no existe una frase mnemotécnica, al menos hasta el momento, no se ha encontrado a ningún pirata informático que robe fotografías de usuarios para iniciar chantajes.
Esto tiene que ver con las reglas de seguridad en el campo de las criptomonedas:
En cualquier caso, no debe guardar una captura de pantalla de la frase mnemotécnica de la billetera en el álbum de fotos, ni debe tomar una foto de la frase mnemotécnica escrita a mano y guardarla en el álbum de fotos. La mejor práctica de seguridad para la frase mnemotécnica es escribirla a mano en papel y guardarla en casa (es mejor escribir a mano varias copias).
Sólo bloqueando físicamente el acceso a la frase mnemotécnica se puede garantizar la seguridad. Guardar fotografías de la frase mnemotécnica en un teléfono móvil o cargarlas en un disco de red es un enfoque muy poco confiable, y el uso de una versión desactualizada de iOS amplificará la superficie de ataque.