Google advierte sobre estafas cripto que utilizan un kit de explotación de iPhone “nuevo y poderoso”

Los investigadores de amenazas en Google afirman haber descubierto un nuevo kit de explotación dirigido a usuarios de Apple iPhone, con el objetivo de robar frases semilla de monederos de criptomonedas. 

El kit, llamado “Coruna” por sus desarrolladores, apunta a iPhones con versiones de iOS desde la 13.0 hasta la 17.2.1. Posee “cinco cadenas completas de explotación de iOS y un total de 23 exploits”, incluyendo algunos que eran desconocidos públicamente, informó el Grupo de Inteligencia de Amenazas de Google (GTIG) en un informe el miércoles.

El grupo explicó que descubrió el kit por primera vez en febrero de 2025 y desde entonces lo ha rastreado en uso por un presunto grupo de espionaje ruso contra ucranianos, y posteriormente en falsos sitios web chinos de criptomonedas diseñados para robar criptoactivos.

GTIG señaló que el kit no funciona con la versión más reciente de iOS y exhortó a los usuarios de iPhone a actualizar sus dispositivos al software más actual. Si esto no es posible, los usuarios deberían poner el teléfono en “Modo de Bloqueo”, que según Apple puede contrarrestar ataques sofisticados.

Kit apunta a cripto a través de sitios web falsos

GTIG afirmó que se encontró con partes de un exploit de iOS en febrero de 2025 en el que un cliente de una empresa de vigilancia utilizó JavaScript para identificar el dispositivo y entregar el exploit adecuado.

Más tarde ese año, halló el mismo framework JavaScript oculto en múltiples sitios ucranianos comprometidos que era “entregado sólo a usuarios seleccionados de iPhone de una geolocalización específica”.

GTIG dijo que luego encontró el mismo framework en diciembre “en un gran conjunto de sitios web falsos chinos en su mayoría relacionados con finanzas”, incluidas páginas que imitaban el exchange de criptomonedas WEEX.

Cuando un usuario accede a estos sitios con un dispositivo iOS, el framework entrega el kit de explotación y busca información financiera, analizando textos que contienen frases semilla y palabras clave como “frase de respaldo” o “cuenta bancaria”.

Relacionado: Hackers ‘ClickFix’ se hacen pasar por VC y secuestran QuickLens en los últimos ataques cripto

El kit también busca aplicaciones populares de criptomonedas, incluyendo Uniswap y MetaMask, para extraer criptoactivos o información sensible.

Se debate el origen de Coruna en inteligencia estadounidense

GTIG no indicó el nombre del cliente de la empresa de vigilancia de la que se dice que surgió el kit de explotación, pero la empresa de seguridad móvil iVerify dijo a WIRED que podría haber sido desarrollado o comprado por el gobierno de Estados Unidos.

“Es muy sofisticado, tomó millones de dólares desarrollarlo y presenta características de otros módulos que han sido atribuidos públicamente al gobierno de Estados Unidos," comentó el cofundador de iVerify Rocky Cole a WIRED.

“Esta es la primera vez que vemos herramientas muy probablemente del gobierno estadounidense — según lo que nos dice el código — fuera de control y siendo utilizadas por nuestros adversarios y grupos cibercriminales.”

Sin embargo, el investigador principal de seguridad de Kaspersky dijo a The Register que la empresa de ciberseguridad no vio “evidencia de reutilización de código real en los informes publicados que respalde atribuir Coruna a los mismos autores.”

Revista: Conoce a los detectives onchain de cripto que combaten el crimen mejor que la policía