Descubren “Coruna”: 23 Exploits Inéditos para iOS Utilizados en Campañas de Espionaje y Cibercrimen

Introducción

El panorama de amenazas móviles se ha visto sacudido tras la reciente identificación de un conjunto de 23 exploits inéditos dirigidos contra dispositivos iOS, agrupados bajo el nombre “Coruna”. Esta cadena de vulnerabilidades ha sido desplegada en campañas de espionaje selectivo y ataques con fines económicos, demostrando que iOS, tradicionalmente percibido como un entorno seguro, continúa siendo un objetivo prioritario para actores avanzados. El hallazgo pone en alerta tanto a equipos de ciberdefensa como a profesionales de seguridad, que deben reevaluar sus estrategias de protección frente a amenazas móviles sofisticadas.

Contexto del Incidente o Vulnerabilidad

La aparición de “Coruna” ha sido atribuida a la actividad simultánea de múltiples actores de amenazas, que han aprovechado estos exploits en campañas altamente dirigidas. Los objetivos incluyen tanto entidades gubernamentales y periodistas, en operaciones de espionaje, como usuarios particulares y empresas, en ataques de tipo financiero. El arsenal de exploits, hasta ahora no documentados en repositorios públicos o bases de datos de vulnerabilidades como NVD, ha sido detectado en escenarios de ataque reales desde finales de 2023 y mantiene su actividad en 2024.

El contexto geopolítico, marcado por tensiones internacionales y la proliferación de herramientas de vigilancia digital, favorece la utilización de exploits 0-day y 1-day. “Coruna” se suma así a la lista de amenazas móviles avanzadas —como Pegasus o Reign—, aunque destaca por el volumen inédito de vulnerabilidades agrupadas y su modularidad operativa.

Detalles Técnicos

La cadena “Coruna” incluye 23 exploits distintos, focalizados en diferentes subsistemas de iOS, desde el kernel hasta el sandbox de aplicaciones. Aunque Apple ha corregido algunas de las vulnerabilidades explotadas en versiones recientes, varias CVE siguen sin ser documentadas públicamente, lo que dificulta la evaluación completa del riesgo.

Vectores de ataque y explotación

– Vectores identificados: Mensajes SMS/MMS, enlaces maliciosos en Safari, archivos adjuntos en correo electrónico e instalación de perfiles de configuración manipulados.
– TTPs: Uso de técnicas MITRE ATT&CK como Exploitation for Privilege Escalation (T1068), Exploitation of Remote Services (T1210) y Spearphishing Attachment (T1193).
– Frameworks de explotación: Evidencias forenses sugieren el empleo de frameworks personalizados, aunque algunos exploits han sido adaptados para su uso en Metasploit y Cobalt Strike, lo que facilita la automatización del ataque y su integración en operaciones más amplias.
– Indicadores de compromiso (IoC): Se han detectado payloads ofuscados, conexiones a C2 mediante HTTPS y tráfico DNS anómalo desde dispositivos comprometidos. Algunos exploits aprovechan cadenas de ejecución en memoria (in-memory payloads) para evadir la detección persistente.

Versiones afectadas

Las versiones de iOS comprometidas varían desde iOS 14 hasta iOS 17.2, aunque la mayor concentración de vulnerabilidades explotadas se encuentra en dispositivos no actualizados a partir de iOS 16.7. Según los análisis, hasta un 12% de los dispositivos empresariales gestionados siguen expuestos por no haber aplicado los parches necesarios.

Impacto y Riesgos

El impacto de “Coruna” es significativo tanto para usuarios individuales como para organizaciones:

– Espionaje selectivo: Acceso a mensajes cifrados, geolocalización, grabación de audio/voz y exfiltración de documentos sensibles.
– Cibercrimen financiero: Robo de credenciales bancarias, interceptación de tokens de autenticación y manipulación de aplicaciones de pago.
– Persistencia y evasión: Algunos exploits permiten la reinstalación de payloads tras reinicios o actualizaciones menores de sistema, dificultando la remediación.
– Cumplimiento normativo: Las organizaciones afectadas pueden incurrir en infracciones graves de GDPR y NIS2, especialmente si se produce exfiltración de datos personales o información estratégica.

Medidas de Mitigación y Recomendaciones

– Actualización inmediata de dispositivos a la última versión de iOS disponible.
– Bloqueo y monitorización de la instalación de perfiles de configuración fuera de canales corporativos.
– Implementación de soluciones MDM/MAM capaces de detectar comportamientos anómalos y conexiones a C2.
– Formación específica de usuarios para identificar intentos de spearphishing y mensajes sospechosos.
– Revisión periódica de logs de actividad y análisis de tráfico de red saliente en busca de IoC asociados a “Coruna”.

Opinión de Expertos

Expertos en ciberseguridad móvil, como los equipos de Citizen Lab y Kaspersky GReAT, coinciden en que la sofisticación y modularidad de “Coruna” supone un salto cualitativo respecto a campañas previas. “La explotación simultánea de múltiples fallos, muchos de ellos 0-day, demuestra que el ataque sobre dispositivos iOS es cada vez más viable incluso fuera de entornos de inteligencia estatal”, afirma Andrea Zaharia, analista principal en amenazas móviles.

Implicaciones para Empresas y Usuarios

Para las empresas, la exposición a “Coruna” implica un riesgo notable de fuga de información confidencial y de incumplimiento normativo. Los CISOs y responsables de seguridad deben reforzar la gestión de actualizaciones, la monitorización activa de dispositivos y la concienciación de usuarios con acceso a datos sensibles.

Para los usuarios, especialmente aquellos en roles críticos o en países con alta actividad de ciberespionaje, la recomendación es extremar la precaución ante cualquier solicitud de instalación de perfiles o enlaces desconocidos, y exigir garantías de seguridad en dispositivos entregados por la empresa.

Conclusiones

La aparición de “Coruna” confirma que el vector móvil sigue siendo central en las operaciones de espionaje y cibercrimen avanzados. La rápida adaptación de los actores de amenazas y la persistencia de dispositivos desactualizados amplifican el riesgo. La respuesta debe ser una defensa en profundidad, combinando tecnología, procedimientos y formación continua.

(Fuente: www.bleepingcomputer.com)