El kit de exploits **Coruna** representa una evolución significativa del framework empleado previamente en la campaña de espionaje Operación Triangulation. Esta campaña, activa desde 2019, atacó iPhones de manera notoria a través de exploits zero-click en iMessage. ### Alcance Ampliado de Objetivos El software actualizado ahora amplía su alcance, apuntando específicamente a los chips de vanguardia de Apple, **A17** y **M3**, así como a sistemas operativos hasta **iOS 17.2**. Esta expansión indica un esfuerzo sostenido para mantener la relevancia frente a las defensas de hardware y software más recientes. ### Cadenas de Exploits y Vulnerabilidades **Coruna** incorpora cinco cadenas de exploits completas para iOS, aprovechando un total de 23 vulnerabilidades. Notablemente, reutiliza **CVE-2023-32434** y **CVE-2023-38606**, dos vulnerabilidades previamente explotadas en la Operación Triangulation. Investigadores de **Kaspersky** descubrieron que el kit **Coruna** utiliza una versión actualizada del exploit empleado en la Operación Triangulation. > "Durante nuestro análisis, descubrimos que el exploit del kernel para las vulnerabilidades CVE-2023-32434 y CVE-2023-38606 utilizado en Coruna, de hecho, es una versión actualizada del mismo exploit que se usó en la Operación Triangulation", señalan los investigadores en un [reporte](https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/) hoy. ### Flujo del Ataque Según el análisis de **Kaspersky**, la secuencia de ataque comienza en Safari con un stager. Esta etapa inicial identifica el dispositivo objetivo, selecciona los exploits apropiados de Ejecución Remota de Código (RCE) y Código de Autenticación de Puntero (PAC), y recupera metadatos cifrados necesarios para las etapas subsiguientes. Luego, el payload descarga componentes cifrados adicionales, los descifra usando ChaCha20, los descomprime con LZMA y analiza formatos de contenedor personalizados para extraer información del paquete. Finalmente, basándose en la arquitectura del dispositivo y la versión de iOS, selecciona y ejecuta el exploit del kernel, el cargador Mach-O y el lanzador para desplegar el implante spyware.  _Fuente: Kaspersky_ Los hallazgos de **Kaspersky** también revelan que los payloads soportan arquitecturas ARM64 y ARM64E, incluyendo verificaciones explícitas para chips **A17**, **M3**, **M3 Pro** y **M3 Max**. Los IDs de paquete y las verificaciones del sistema indican además que los exploits pueden apuntar a: * iOS < 14.0 beta 7 * iOS < 14.7 * iOS < 16.5 beta 4 * iOS < 16.6 beta 5 * iOS < 17.2 ### Conexión con Triangulation **Boris Larin**, investigador principal de seguridad en el Equipo Global de Investigación y Análisis (GReAT) de **Kaspersky**, enfatizó la conexión con Triangulation: "Coruna no es un mosaico de exploits públicos; es una evolución mantenida continuamente del framework original de la Operación Triangulation". Los desarrolladores están actualizando activamente el framework para incluir verificaciones de procesadores más nuevos (por ejemplo, M3) y compilaciones de iOS. ### De Espionaje a Robo de Criptomonedas También se ha observado a **Coruna** en campañas con motivaciones financieras dirigidas al robo de criptomonedas a través de sitios web falsos de intercambio. Como señala **Larin**, "lo que comenzó como una herramienta de espionaje de precisión ahora se despliega indiscriminadamente". ### Otros Kits de Exploits para iOS Esta divulgación sigue al reciente descubrimiento de otro kit de exploits, **DarkSword**, por parte de investigadores de las empresas de seguridad móvil **Lookout** e **iVerify**, y **Google**. **DarkSword** también está siendo utilizado por múltiples actores de amenazas, principalmente para espionaje. La disponibilidad pública de **DarkSword** aumenta el riesgo de que los ciberdelincuentes lo aprovechen contra iPhones sin parches. ### Respuesta de Apple **Apple** ha emitido un [boletín de seguridad](https://support.apple.com/en-us/126776) abordando estos kits de exploits descubiertos recientemente, declarando que las correcciones para todas las fallas identificadas se han incluido en las actualizaciones de seguridad para las versiones más recientes y anteriores de iOS.