Google descubre el kit para iOS ‘Coruna’ que apunta a monederos de criptomonedas.
Google Threat Analysis Group (TAG) ha identificado ‘Coruna’, un sofisticado kit de explotación de criptomonedas para iPhone que ha migrado del espionaje patrocinado por estados al robo financiero de mercado masivo dirigido a monederos. El conjunto de herramientas, que aprovecha la asombrosa cifra de 23 vulnerabilidades en versiones de iOS desde la 13,0 hasta la 17,2,1, está siendo desplegado actualmente por ciberdelincuentes para extraer frases semilla BIP39 de usuarios de iPhone que visitan sitios web de apuestas comprometidos y exchanges falsos. Esto representa una escalada significativa en las amenazas móviles, poniendo eficazmente herramientas de vigilancia de grado militar en manos de ladrones que buscan vaciar MetaMask y monederos gestionados.
Este descubrimiento revela una tendencia preocupante de exploits de alta gama, antes reservados para agencias de inteligencia, que están siendo reutilizados para actividades criminales más amplias. Apple ha solucionado las vulnerabilidades específicas explotadas por este kit en iOS 17,3 y versiones posteriores, pero la gran cantidad de dispositivos que ejecutan software desactualizado crea un objetivo lucrativo. Los usuarios que visitan estos sitios de ‘watering hole’ son vulnerables a un compromiso inmediato de tipo ‘drive-by’ sin necesidad de ninguna interacción.
A few weeks ago, Apple announce that "iPhone and iPad [are] approved to handle *classified* NATO information" 😂
Turns out even lowly cybercriminals were (ab)using 0days to hack Apple devices 🙈https://t.co/cECbR9QGRZ
— Patrick Wardle (@patrickwardle) March 3, 2026
El exploit de criptomonedas en iPhone: cómo el kit Coruna ataca a los usuarios de iPhone
La mecánica del exploit Coruna revela un nivel de ingeniería típicamente reservado para actores estatales, no para estafadores financieros. Las víctimas potenciales son atraídas a sitios web maliciosos que se hacen pasar por servicios legítimos, a menudo versiones falsas del exchange WEEX o portales de apuestas oscuros, donde un marco de JavaScript oculto identifica el dispositivo del visitante. Si el script detecta un modelo de iPhone vulnerable, entrega silenciosamente una carga útil de ejecución remota de código (RCE) de WebKit, eludiendo las protecciones de Pointer Authentication Code (PAC) de Apple para obtener acceso a nivel de sistema.
Una vez dentro del dispositivo, el malware no se molesta con tácticas de ransomware; va directamente a por las llaves de la caja fuerte. El kit inicia un escaneo del sistema de archivos, buscando específicamente datos asociados con aplicaciones populares de autocustodia, ejecutando una operación de robo de frases semilla altamente dirigida. Busca imágenes en caché de códigos QR, notas no cifradas que contienen cadenas de respaldo y contenedores de datos de aplicaciones específicas para monederos como MetaMask y BitKeep. Los datos robados implican la exfiltración de las frases mnemotécnicas BIP39 de 12 a 24 palabras que otorgan el control total sobre los fondos de un usuario, que luego se transmiten a servidores de comando y control a través de canales cifrados.
Cabe destacar que este proceso ocurre completamente en segundo plano. La cadena de explotación incluye sofisticadas elusiones de mitigación que le permiten operar sin colapsar el navegador ni alertar al usuario, lo que lo hace particularmente letal para los inversores que gestionan carteras de alto valor en dispositivos móviles. El kit de herramientas Coruna también emplea técnicas únicas de ofuscación para ocultar su tráfico, complicando la detección por parte de los filtros de seguridad móvil estándar.
La cronología: lo que encontró Google TAG
Cronología del kit de explotación Coruna iOS Fuente: Cloud Google
La atribución de Google TAG apunta a un mercado caótico de ciberarmas de «segunda mano». Rastreada inicialmente por un proveedor de vigilancia comercial, la ola actual de ataques financieros se atribuye a UNC6691, un actor de amenazas con motivaciones financieras con base en China. Este grupo parece haber adquirido el kit de explotación completo después de que ya fuera utilizado por UNC6353, un presunto grupo de espionaje ruso que atacó la infraestructura ucraniana a mediados de 2025.
El cambio del espionaje al robo sugiere que una vez que una vulnerabilidad de día cero entra en escena, su mercantilización es inevitable. UNC6691 ha desplegado el kit de forma amplia, alejándose del objetivo preciso de sus predecesores rusos hacia un enfoque de «red amplia» adecuado para un exploit de criptomonedas en iPhone. Esta democratización de las estafas avanzadas complica significativamente el panorama de defensa, ya que las herramientas diseñadas para eludir la seguridad a nivel gubernamental ahora se están dirigiendo a los inversores minoristas de criptomonedas.
EXPLORE: Mejores nuevas criptomonedas en 2026
Usuarios de iPhone con criptomonedas: ¿están en riesgo?
El perfil específico de la víctima para esta campaña es sorprendentemente estrecho pero altamente vulnerable: usuarios de iPhone que no han actualizado sus dispositivos más allá de iOS 17,2,1 y que participan en comportamientos de navegación de alto riesgo. Si utiliza un dispositivo antiguo para operar en exchanges descentralizados oscuros o visita sitios de apuestas del mercado gris, esencialmente está caminando por un campo minado. El paso defensivo más crítico es actualizar a la última versión de iOS de inmediato, ya que el exploit Coruna se basa en vulnerabilidades que Apple ya ha parcheado.
Para los usuarios que no pueden actualizar su hardware, habilitar el modo de aislamiento (Lockdown Mode) de Apple ofrece una defensa sólida contra esta vulnerabilidad específica de iOS. Restringe tecnologías web complejas como la compilación JavaScript Just-in-Time (JIT), en la que se basa el exploit para ejecutar su código. Además, los inversores serios deberían tratar sus dispositivos móviles como si estuvieran comprometidos.
Nunca guarde frases semilla en capturas de pantalla o aplicaciones de notas, y considere el uso de un monedero de hardware que requiera confirmación física para las transacciones. Es sencillo: si su teléfono puede verse comprometido al visitar un sitio web, su monedero caliente no es seguro; es una caja de donaciones. Manténgase vigilante.
DESCUBRA: ¿Cuál es la próxima criptomoneda que explotará en 2026?