Google señala que Apple parchó las vulnerabilidades utilizadas por Coruña en las últimas versiones de su sistema operativo móvil, iOS 26, por lo que se confirma que sus técnicas de explotación solo funcionan contra iOS 13 hasta 17.2.1. Apunta a vulnerabilidades en el marco Webkit de Apple para navegadores, por lo que los usuarios de Safari en esas versiones anteriores de iOS serían vulnerables, pero no hay técnicas confirmadas en el kit de herramientas para atacar a los usuarios de Chrome. Google también señala que Coruña verifica si un dispositivo iOS tiene habilitada la configuración de seguridad más estricta de Apple, conocida como Modo de bloqueo, y no intenta piratearlo si es así.
A pesar de esas limitaciones, iVerify dice que Coruña probablemente infectó decenas de miles de teléfonos. La empresa consultó con un socio que tiene acceso al tráfico de la red y contó las visitas a un servidor de comando y control de la versión cibercriminal de Coruña que infecta sitios web en idioma chino. El volumen de esas conexiones sugiere, dice iVerify, que aproximadamente 42.000 dispositivos ya pueden haber sido pirateados con el conjunto de herramientas sólo en la campaña con fines de lucro.
Aún no está claro cuántas otras víctimas pudo haber afectado Coruña, incluidos los ucranianos que visitaron sitios web infectados con el código por la supuesta operación de espionaje ruso. Google se negó a hacer comentarios más allá de su informe publicado. Apple no hizo comentarios de inmediato sobre los hallazgos de Google o iVerify.
Un autor único y muy profesional
En el análisis de iVerify de la versión cibercriminal de Coruña (no tenía acceso a ninguna de las versiones anteriores), la compañía descubrió que el código parecía haber sido alterado para instalar malware en dispositivos objetivo diseñados para drenar criptomonedas de carteras criptográficas, así como robar fotos y, en algunos casos, correos electrónicos. Esas adiciones, sin embargo, estaban «mal escritas» en comparación con el conjunto de herramientas subyacente de Coruña, según Spencer Parker, director de productos de iVerify, que encontró impresionantemente pulido y modular.
«Dios mío, estas cosas están escritas de manera muy profesional», dice Parker sobre los exploits incluidos en Coruña, sugiriendo que el malware más crudo fue agregado por los ciberdelincuentes que luego obtuvieron ese código.
En cuanto a los módulos de código que sugieren los orígenes de Coruña como un conjunto de herramientas del gobierno de EE. UU., Cole de iVerify señala una explicación alternativa: es posible que las superposiciones entre el código de Coruña y el malware Operación Triangulación, que Rusia atribuyó a los piratas informáticos estadounidenses, podrían haber resultado de que los componentes de Triangulación fueran recogidos y reutilizados después de ser descubiertos. Pero Cole sostiene que eso es poco probable. Muchos componentes de La Coruña nunca antes se habían visto, señala, y todo el conjunto de herramientas parece haber sido creado por un “único autor”, como él dice.
«El marco se mantiene muy bien unido», dice Cole, quien anteriormente trabajó en la NSA, pero señala que ha estado fuera del gobierno durante más de una década y no basa sus hallazgos en su propio conocimiento obsoleto de las herramientas de piratería informática estadounidenses. «Parece que fue escrito en su totalidad. No parece que estuviera ensamblado».
Si Coruña es, de hecho, un conjunto de herramientas de piratería estadounidense que se ha vuelto deshonesta, sigue siendo un misterio cómo llegó a manos extranjeras y criminales. Pero Cole señala la industria de intermediarios que pueden pagar decenas de millones de dólares por técnicas de piratería de día cero que pueden revender para espionaje, cibercrimen o ciberguerra. En particular, Peter Williams, un ejecutivo del contratista del gobierno estadounidense Trenchant, fue sentenciado este mes a siete años de prisión por vender herramientas de piratería al corredor ruso de día cero Operación Cero de 2022 a 2025. El memorando de sentencia de Williams señala que Trenchant vendió herramientas de piratería a la comunidad de inteligencia estadounidense, así como a otros miembros del grupo de gobiernos de habla inglesa “Cinco Ojos” (Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda), aunque no está claro qué herramientas específicas vendió o a qué dispositivos se dirigieron.
«Estos intermediarios de día cero y exploits tienden a ser inescrupulosos», dice Cole. «Venden al mejor postor y obtienen una doble inversión. Muchos no tienen acuerdos de exclusividad. Es muy probable que eso sea lo que pasó aquí».
«Una de estas herramientas terminó en manos de un corredor de exploits no occidental y la vendió a quien estuviera dispuesto a pagar», concluye Cole. «El genio ha salido de la botella».