El Threat Intelligence Group (GTIG) de Google advierte que un “nuevo y poderoso” kit de exploits para iOS, llamado Coruna por sus desarrolladores, se ha implementado en sitios web falsos de finanzas y criptomonedas diseñados para atraer a los usuarios de iPhone a visitar páginas que pueden ofrecer exploits silenciosamente. Para los poseedores de criptomonedas, el riesgo es claro: el análisis de GTIG muestra que las campañas, en última instancia, se centran en recopilar frases iniciales y datos de billetera de aplicaciones móviles populares.
Coruña apunta a dispositivos Apple que ejecutan iOS 13.0–17.2.1 e incluye cinco cadenas completas de exploits y 23 exploits. GTIG dice que ha restaurado el kit después de rastrear su evolución en 2025, desde el uso inicial por parte de un cliente de una empresa de vigilancia comercial, hasta ataques de “pozo de agua” en sitios web ucranianos pirateados y, finalmente, hasta la distribución generalizada a través de sitios fraudulentos en idioma chino vinculados a un actor con motivación financiera, al que rastrea como UNC6691.
Señuelo criptográfico diseñado para iPhone
GTIG dice que durante la fase de estafa, observó que la plataforma JavaScript subyacente a Coruña se implementaba en un “conjunto muy grande” de sitios web chinos falsos, principalmente centrados en finanzas. Un ejemplo citado por GTIG fue una página falsa de intercambio de criptomonedas con la marca WEEX que intentaba redirigir a los visitantes a un dispositivo iOS antes de inyectar un iFrame oculto para entregar un kit de explotación “independientemente de su geolocalización”.
Lectura relacionada
La mecánica de entrega es importante porque desdibuja la línea entre el phishing tradicional y el pirateo directo de dispositivos: simplemente navegar a una página trampa desde un iPhone vulnerable fue suficiente para iniciar la cadena, según GTIG. La plataforma toma las huellas digitales del dispositivo para identificar el modelo y la versión de iOS, luego carga el exploit de ejecución remota de código WebKit correspondiente y la omisión de autenticación de puntero (PAC).
GTIG vinculó un WebKit RCE recuperado a CVE-2024-23222, y señaló que Apple lo abordó en iOS 17.3 el 22 de enero de 2024.
Al final de la cadena, GTIG informa que Coruña está lanzando un módulo de middleware al que llama PlasmaLoader (rastreado como PLASMAGRID) y lo describe como centrado menos en funciones de vigilancia clásicas y más en el robo de información financiera. Según GTIG, la carga útil puede decodificar códigos QR de imágenes almacenadas en el dispositivo y escanear objetos de texto en busca de secuencias de palabras BIP39, así como palabras clave como “frase inversa” y “cuenta bancaria”, incluso en Apple Memos, que luego se pueden extraer.
Lectura relacionada
La carga útil también es modular. GTIG dice que puede desactivar e iniciar módulos adicionales de forma remota, y que muchos de los módulos identificados están diseñados para interceptar funciones y extraer información confidencial de aplicaciones comunes de billeteras criptográficas, incluidas MetaMask, Trust Wallet, Uniswap Wallet, Phantom, Exodus y billeteras del ecosistema TON como Tonkeeper.
El arco más amplio también fue notado por la firma de seguridad móvil iVerify, que publicó sus propios hallazgos casi al mismo tiempo que el informe GTIG. “Y esto es exactamente lo que sucedió aquí, pero en los dispositivos móviles. Los fabricantes de teléfonos hacen su trabajo lo mejor que pueden…”
Qué pueden hacer ahora los usuarios de criptomonedas
Google dice que Coruña es “ineficaz contra la última versión de iOS” e insta a los usuarios a actualizarla. Si no es posible actualizar, GTIG recomienda activar el modo de bloqueo de Apple. GTIG también dice que ha agregado los sitios web y dominios identificados a Google Safe Browsing para reducir una mayor exposición.
Para los usuarios de criptomonedas, la conclusión inmediata es práctica: las billeteras móviles se encuentran en la intersección de activos valiosos y tráfico web de alta frecuencia, lo que hace que las campañas de “visita para comprometer” sean excepcionalmente peligrosas. El informe GTIG sugiere que el embudo de estafa no se trataba solo de lograr que las víctimas conectaran billeteras, sino también de conectarlas al dispositivo correcto y a la versión correcta de iOS para que el exploit pudiera hacer el resto.
En el momento de esta publicación, la capitalización total del mercado de criptomonedas era de 2,45 billones de dólares.
La capitalización total del mercado de criptomonedas se acerca al nivel de Fibonacci de 0,786, gráfico de 1 semana | Fuente: TOTAL en TradingView.com
Imagen destacada creada con DALL.E, gráfico de TradingView.com.
