Un conjunto de herramientas de piratería de iPhone utilizado por espías rusos probablemente provino de un contratista militar estadounidense

TechCrunch se enteró de que una campaña de piratería masiva dirigida a usuarios de iPhone en Ucrania y China utilizó herramientas que probablemente fueron diseñadas por el contratista militar estadounidense L3Harris. Las herramientas, destinadas a espías occidentales, terminaron en manos de varios grupos de piratas informáticos, incluidos agentes del gobierno ruso y ciberdelincuentes chinos.

La semana pasada, Google reveló que a lo largo de 2025 descubrió que un sofisticado kit de herramientas para hackear iPhone se ha utilizado en una serie de ataques globales. El conjunto de herramientas, denominado “Coruña” por su desarrollador original, estaba compuesto por 23 componentes diferentes, utilizados por primera vez “en operaciones muy específicas” por un cliente gubernamental anónimo de un “proveedor de vigilancia” no especificado. Luego fue utilizado por espías del gobierno ruso contra un número limitado de ucranianos y finalmente por ciberdelincuentes chinos “en campañas a gran escala” destinadas a robar dinero y criptomonedas.

Investigadores de la empresa de ciberseguridad móvil iVerify, que A Coruña analizó de forma independientedijeron que creen que pudo haber sido construido originalmente por una empresa que lo vendió al gobierno de Estados Unidos.

Dos ex empleados del contratista gubernamental L3Harris dijeron a TechCrunch que Coruña fue, al menos en parte, desarrollado por la división de tecnología de vigilancia y piratería de la compañía, Trenchant. Los dos ex empleados conocían las herramientas de piratería de iPhone de la empresa. Ambos hablaron bajo condición de anonimato porque no estaban autorizados a hablar sobre su trabajo en la empresa.

“Coruña era definitivamente el nombre interno de un componente”, dijo un ex empleado de L3Harris, que estaba familiarizado con las herramientas de piratería de iPhone como parte de su trabajo en Trenchant.

“Si analizamos los detalles técnicos”, dijo esta persona, refiriéndose a algunas de las pruebas publicadas por Google, “muchas de ellas resultan familiares”.

El ex empleado dijo que el completo conjunto de herramientas de Trenchant albergaba varios componentes diferentes, incluido Coruna y exploits relacionados. Otro ex empleado confirmó que algunos de los detalles incluidos en el conjunto de herramientas de piratería publicado procedían de Trenchant.

L3Harris vende las herramientas de vigilancia y piratería de Trenchant exclusivamente al gobierno de Estados Unidos y sus aliados en la llamada alianza de inteligencia Five Eyes, que incluye a Australia, Canadá, Nueva Zelanda y el Reino Unido. Dado el número limitado de clientes de Trenchant, es posible que Coruna haya sido adquirido y utilizado originalmente por una de las agencias de inteligencia de esos gobiernos antes de caer en manos no deseadas, aunque no está claro qué parte del conjunto de herramientas de piratería de Coruna publicado fue desarrollado por L3Harris Trenchant.

Un portavoz de L3Harris no respondió a una solicitud de comentarios.

No está claro cómo Coruña pasó de las manos de un contratista del gobierno de Five Eyes a un grupo de piratería del gobierno ruso y luego a una banda de cibercrimen china.

Pero algunas de las circunstancias parecen similares al caso de pedro williamsex director general de Trenchant. Desde 2022 hasta su dimisión a mediados de 2025, Williams vendió ocho herramientas de piratería a empresas a Operación Cerouna empresa rusa que ofrece millones de dólares a cambio de día cero exploits, es decir, vulnerabilidades desconocidas para el proveedor afectado.

Williams, ciudadano australiano de 39 años, fue sentenciado a siete años de prisión el mes pasado después de admitir haber robado y vendido las ocho herramientas de piratería Trenchant a Operation Zero por 1,3 millones de dólares.

El gobierno de Estados Unidos le dijo a Williams que aprovechó el “acceso completo” a las redes Trenchant, “traicionaron” a Estados Unidos y sus aliados. Promotores lo acusó de filtrar herramientas esto podría haber permitido a cualquiera que las usara “potencialmente acceder a millones de computadoras y dispositivos en todo el mundo”, lo que sugiere que las herramientas dependían de vulnerabilidades que afectaban a software ampliamente utilizado como iOS.

Operación Cero, que fue sancionado por el gobierno de EE.UU. el mes pasado dijo que trabaja exclusivamente con el gobierno ruso y empresas locales. El Tesoro de Estados Unidos alegó que el corredor ruso vendió “herramientas robadas a Williams a al menos un usuario no autorizado”.

Esto explicaría cómo el grupo de espías ruso, que Google identificó sólo como UNC6353, adquirió Coruña y lo implementó en sitios web ucranianos comprometidos para piratear a ciertos usuarios de iPhone desde una ubicación geográfica específica que sin saberlo visitaron el sitio web malicioso.

Es posible que después de que Operation Zero adquiriera Coruña y potencialmente la vendiera al gobierno ruso, el corredor revendiera el conjunto de herramientas a otra persona, tal vez a otro corredor, otro país o incluso directamente a ciberdelincuentes. El Tesoro alegó que un miembro de la banda de ransomware Trickbot trabajó con Operation Zero, vinculando al corredor con piratas informáticos con motivación financiera.

En este punto, Coruña pudo haber pasado a otras manos hasta llegar a los hackers chinos. Según los fiscales estadounidenses, Williams reconoció el código que escribió y vendió a Operation Zero, que luego utilizó un corredor de Corea del Sur.

Operación Triangulación

Los investigadores de Google escribieron el martes que dos exploits específicos de Coruña y vulnerabilidades subyacentes, llamados Photon y Gallium por sus desarrolladores originales, se utilizaron como días cero en la Operación Triangulación, una sofisticada campaña de piratería supuestamente utilizada contra usuarios rusos de iPhone. La Operación Triangulación fue revelado por primera vez por Kaspersky en 2023.

Rocky Cole, cofundador de iVerify, dijo a TechCrunch que “la mejor explicación basada en lo que se sabe ahora” señala a Trenchant y al gobierno de Estados Unidos como los desarrolladores y clientes originales de Coruña. Aunque, añadió Cole, no lo dice “definitivamente”.

Esa evaluación, dijo, se basa en tres factores. La línea de tiempo del uso de Coruña se alinea con las filtraciones de Williams, la estructura de tres módulos (Plasma, Fotón y Galio) encontrados en Coruña tiene fuertes similitudes con la Triangulación, y Coruña reutilizó algunos de los mismos exploits utilizados en esa operación, dijo.

Según Cole, “personas cercanas a la comunidad de defensa” afirman que se utilizó plasma en la Operación Triangulación, “aunque no hay evidencia pública de esto”. (Cole trabajó anteriormente en la Agencia de Seguridad Nacional de EE. UU.).

Según Google e iVerify, Coruña está diseñado para piratear modelos de iPhone con iOS 13 a 17.2.1, lanzados entre septiembre de 2019 y diciembre de 2023. Estas fechas se alinean con la cronología de algunas de las filtraciones de Williams y el descubrimiento de la Operación Triangulación.

Uno de los ex empleados de Trenchant le dijo a TechCrunch que cuando Triangulación se reveló por primera vez en 2023, otros empleados de la compañía creían que al menos uno de los días cero capturados por Kaspersky “era nuestro y potencialmente ‘arrancado’ del” proyecto general que incluía a Coruña.

Otra migaja que apunta a Trenchant… como señaló el investigador de seguridad Costin Raiu — es el uso de nombres de aves para algunas de las 23 herramientas, como Casuario, Terrorbird, Bluebird, Jacurutu y Sparrow. En 2021, El Washington Post reveló ese azimut, una de las dos startups posteriormente adquirido por L3Harris y emitido en Zanjantevendió una herramienta de piratería llamada Condor al FBI en el infame caso de iPhone de San Bernardino.

Después de que Kaspersky publicara su investigación sobre la Operación Triangulación, el Servicio Federal de Seguridad (FSB) de Rusia acusó a la NSA de piratear “miles” de iPhones en Rusia, especialmente dirigidos a diplomáticos. Un portavoz de Kaspersky dijo en ese momento que la empresa no tenía información sobre las acusaciones del FSB. El portavoz señaló que los “indicadores de compromiso” –es decir, evidencia de un hackeo– identificados por el Centro Nacional de Coordinación de Incidentes Informáticos (NCCCI) de Rusia eran los mismos que los identificados por Kaspersky.

Boris Larin, investigador de seguridad de Kaspersky, dijo a TechCrunch en un correo electrónico que “a pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún [Advanced Persistent Threat] grupo o empresa de desarrollo de exploración”.

Larin explicó que Google vinculó a Coruña con la Operación Triangulación porque ambos explotan las mismas dos vulnerabilidades: Photon y Gallium.

“La atribución no puede basarse únicamente en el hecho de que estas vulnerabilidades fueron explotadas. Todos los detalles de ambas vulnerabilidades han estado disponibles públicamente durante mucho tiempo” y, por lo tanto, cualquiera podría haber aprovechado ellas, dijo, añadiendo que estas dos vulnerabilidades compartidas “son sólo la punta del iceberg”.

Kaspersky nunca ha acusado públicamente al gobierno estadounidense de estar detrás de la Operación Triangulación. Curiosamente, el logotipo que la empresa creó para la campaña: el logotipo de una manzana. formado por varios triángulos – recordar el logotipo de L3Harris. Puede que no sea una coincidencia. Kaspersky ha dicho anteriormente que no atribuiría públicamente una campaña de piratería, aunque señaló discretamente que en realidad sabía quién estaba detrás de ella o quién proporcionó las herramientas para ello.

En 2014, Kaspersky anunciado que había capturado a un sofisticado y esquivo grupo de piratas informáticos del gobierno conocido como “Careto” (en español “La Máscara”). La empresa sólo dijo que los piratas informáticos hablaban español. Pero la ilustración de una máscara que la empresa utilizó en su informe incluía los colores rojo y amarillo de la bandera española, astas y narigueras de toro y castañuelas.

Como reveló TechCrunch el año pasadoLos investigadores de Kaspersky concluyeron en privado que “no había duda”, como dijo uno de ellos, de que Careto estaba dirigido por el gobierno español.

El miércoles, el periodista de ciberseguridad Patrick Gray dijo en un episodio de su podcast Risky Business que pensaba, basándose en “fragmentos” en los que confiaba, que lo que Williams filtró a Operación Cero era el kit de piratería utilizado en la campaña de Triangulación.

Apple, Google, Kaspersky y Operation Zero no respondieron a las solicitudes de comentarios.