Google señala que Apple ha solucionado las vulnerabilidades utilizadas por Coruña en las últimas versiones de su sistema operativo móvil. iOS 26por lo tanto, sus técnicas de explotación solo funcionan en iOS 13 hasta 17.2.1. Apunta a vulnerabilidades en el marco Webkit de Apple para navegadores, por lo que los usuarios de Safari en versiones anteriores de iOS serían vulnerables, pero no hay técnicas confirmadas en el kit de herramientas para atacar a los usuarios de Chrome. Google también señala que Coruña comprueba si un dispositivo iOS tiene la configuración de seguridad más estricta de Apple, conocida como Modo de bloqueoactivado y no intentes hackearlo en ese caso.
A pesar de estas limitaciones, iVerify dice que Coruña probablemente infectó decenas de miles de teléfonos. La empresa consultó a un socio que tiene acceso al tráfico de la red y contó las visitas a un servidor de comando y control de la versión cibercriminal de Coruña que infecta sitios web en idioma chino. El volumen de estas conexiones sugiere, dice iVerify, que alrededor de 42.000 dispositivos ya pueden haber sido pirateados con el conjunto de herramientas sólo en la campaña con fines de lucro.
Aún no está claro cuántas otras víctimas pudo haber atacado Coruña, incluidos ucranianos que visitaron sitios web infectados con código de la supuesta operación de espionaje rusa. Google se negó a hacer comentarios más allá del informe publicado. Apple no hizo comentarios de inmediato sobre los hallazgos de Google o iVerify.
Un autor único y muy profesional.
En el análisis de iVerify de la versión cibercriminal de Coruña (no tenía acceso a ninguna de las versiones anteriores), la compañía descubrió que el código parecía haber sido alterado para instalar malware en dispositivos objetivo diseñados para drenar criptomonedas de carteras criptográficas, así como robar fotos y, en algunos casos, correos electrónicos. Estas adiciones, sin embargo, estaban “mal escritas” en comparación con el conjunto de herramientas subyacente de Coruña, según Spencer Parker, director de producto de iVerify, que encontró impresionantemente pulido y modular.
“Dios mío, esto está escrito de manera muy profesional”, dice Parker sobre los exploits incluidos en Coruña, sugiriendo que el malware más crudo fue agregado por los ciberdelincuentes que luego obtuvieron este código.
En cuanto a los módulos de código que sugieren los orígenes de Coruña como un conjunto de herramientas del gobierno de EE. UU., Cole de iVerify señala una explicación alternativa: es posible que las superposiciones entre el código de Coruña y el malware Operación Triangulación, que Rusia ha atribuido a piratas informáticos estadounidenses, puedan haber resultado de la captura y reutilización de los componentes de Triangulación después de que fueron descubiertos. Pero Cole sostiene que esto es poco probable. Muchos componentes de Coruña nunca se habían visto antes, señala, y todo el conjunto de herramientas parece haber sido creado por un “único autor”, como él dice.
“La estructura se mantiene muy bien”, dice Cole, quien anteriormente trabajó en la NSA pero señala que ha estado fuera del gobierno durante más de una década y no basa ninguna conclusión en su propio conocimiento obsoleto de las herramientas de piratería informática estadounidenses. “Parece que fue escrito en su totalidad. No se siente como si estuviera armado”.
Si Coruña es, de hecho, un conjunto de herramientas de hackers estadounidenses que se han vuelto deshonestos, cómo cayó en manos extranjeras y criminales sigue siendo un misterio. Pero Cole señala la industria de los intermediarios que pueden pagar decenas de millones de dólares por técnicas de hacking de día cero que pueden revender para espionaje, cibercrimen o guerra cibernética. En particular, Peter Williams, ejecutivo de la contratista del gobierno estadounidense Trenchant, fue sentenciado este mes a siete años de prisión por venta de herramientas de piratería al corredor ruso de día cero Operation Zero de 2022 a 2025. El memorando de sentencia de Williams señala que Trenchant vendió herramientas de piratería a la comunidad de inteligencia de EE. UU., así como a otros miembros del grupo de gobiernos de habla inglesa “Cinco Ojos” (EE. UU., Reino Unido, Australia, Canadá y Nueva Zelanda), aunque no está claro qué herramientas específicas vendió o a qué dispositivos apuntaban.
“Estos corredores de exploits y de día cero tienden a ser inescrupulosos”, dice Cole. “Venden al mejor postor y pujan dos veces. Muchos no tienen acuerdos de exclusividad. Es muy probable que eso sea lo que pasó aquí”.
“Una de estas herramientas terminó en manos de un corredor de exploración no occidental, y la vendieron a quien estuviera dispuesto a pagar”, concluye Cole. “El genio ha salido de la botella”.
