Google revela vulnerabilidad de WebKit de Apple: afecta iOS 13~17.2.1, aproximadamente 42,000 iPhones se convirtieron en "cajeros automáticos"

IT之家, 4 de marzo, informa que Google publicó hoy (4 de marzo) un blog en el que revela un kit de herramientas de jailbreak para iPhone con el código Coruna, que puede afectar a modelos de iPhone que ejecutan iOS 13 a 17.2.1. Las pruebas relacionadas indican que ya ha caído en manos de espías extranjeros y criminales cibernéticos.

Google señala que este kit de herramientas de jailbreak actualmente solo funciona en iOS 13.0 (lanzado en septiembre de 2019) hasta iOS 17.2.1 (lanzado en diciembre de 2023), y que Apple ya ha corregido la vulnerabilidad en iOS 18.

El kit Coruna incluye cinco cadenas completas de explotación de vulnerabilidades en iOS, con un total de 23 exploits, cuyo valor principal radica en la integración de múltiples técnicas de explotación de vulnerabilidades no públicas y métodos de evasión de mitigaciones.

Según la información del blog citada por IT之家, el Grupo de Inteligencia de Amenazas de Google (GTIG) descubrió lo siguiente:

• La primera detección del kit fue a principios de 2025, cuando se utilizó para ataques dirigidos;
• En verano de ese mismo año, hay evidencia de que la organización de espionaje UNC6353 utilizó el kit para lanzar ataques de “watering hole”, distribuyendo código malicioso mediante la inserción de iFrames ocultos en sitios web comprometidos;
• A finales de 2025, UNC6691 desplegó el mismo kit en una operación a gran escala. Los atacantes crearon numerosos sitios falsos relacionados con transacciones financieras y criptomonedas, induciendo a los usuarios a acceder a ellos con dispositivos iOS, y mediante la explotación de vulnerabilidades, robaron activos.

En cuanto a la arquitectura técnica, el kit Coruna utiliza un marco de trabajo en JavaScript para realizar la identificación de huellas del dispositivo, seguido de ataques que explotan vulnerabilidades de ejecución remota de código en WebKit (RCE) y el bypass del código de autenticación de punteros (PAC).

El payload final en la cadena de ataque, llamado “PlasmaLoader” (seguido por GTIG como PLASMAGRID), inyecta código en procesos del sistema y escanea aplicaciones de monederos de criptomonedas en el dispositivo (como MetaMask, Trust Wallet, etc.), para robar las frases mnemónicas y las claves privadas.

Los datos muestran que, solo en ataques con fines lucrativos, aproximadamente 42,000 dispositivos han sido comprometidos, utilizados para robar criptomonedas y datos privados. El análisis del código revela que la programación del kit es extremadamente profesional, lo que sugiere que fue desarrollado por un solo autor.

En respuesta a esta amenaza, Google ha añadido todos los sitios web y dominios relacionados a la lista de bloqueo de “Navegación segura”. GTIG enfatiza que el kit Coruna no puede vulnerar las versiones más recientes de iOS. Por lo tanto, los usuarios de iPhone deben actualizar inmediatamente sus dispositivos a la última versión de iOS para eliminar el riesgo.