El equipo Global Research and Analysis Team (GReAT) de Kaspersky ha llevado a cabo un análisis del código del exploit kit Coruna, confirmando que se trata de una evolución directa del framework utilizado, al menos parcialmente, en la campaña de ciberespionaje Operation Triangulation. Los expertos concluyen que los exploits de kernel presentes en ambos casos han sido desarrollados por el mismo autor.

Operation Triangulation es una campaña de amenazas persistentes avanzadas (APT) dirigida a dispositivos iOS, revelada por Kaspersky en junio de 2023. Kaspersky detectó esta actividad al analizar el tráfico de su propia red WiFi corporativa, donde los ciberdelincuentes estaban atacando los dispositivos de varios empleados. En esta campaña se identificaron cuatro vulnerabilidades de día cero que afectaban a una amplia gama de productos de Apple.

El análisis revela que uno de los cinco exploits de kernel (técnica que permite a los ciberdelincuentes aprovechar fallos en el núcleo del sistema operativo para obtener control total del dispositivo) incluidos en Coruna es una versión actualizada del mismo exploit identificado por Kaspersky en Operation Triangulation en 2023. Los otros cuatro, incluidos dos desarrollados tras la divulgación pública de la campaña, se basan en el mismo framework de explotación.

Las similitudes en el código van más allá de los exploits de kernel y se extienden a otros componentes del kit, lo que confirma que Coruna no es una recopilación de herramientas independientes, sino una evolución continua y mantenida del framework original.

Compatibilidad con hardware y versiones recientes de iOS
El código analizado incluye soporte para los procesadores Apple A17, M3, M3 Pro y M3 Max, así como referencias a versiones de iOS hasta la 17.2, todas ellas lanzadas entre finales de 2023. Además, incorpora una comprobación específica para iOS 16.5 beta 4, la versión que Apple publicó para corregir las vulnerabilidades previamente reportadas por Kaspersky.

“Cuando se detectó Coruna por primera vez, no había suficiente evidencia pública para vincular su código con Operation Triangulation, ya que compartir vulnerabilidades no implica necesariamente un origen común. Sin embargo, tras analizar los binarios, el escenario es diferente. Coruna no es un conjunto de exploits públicos, sino una evolución continua del framework original. La inclusión de soporte para procesadores recientes como M3 y versiones actuales de iOS demuestra que sus desarrolladores siguen activos. Lo que comenzó como una herramienta de ciberespionaje altamente dirigida se está utilizando ahora de forma mucho más amplia”, explica Boris Larin, principal security researcher en Kaspersky GReAT.

Kaspersky recomienda a todos los usuarios de iPhone instalar las últimas actualizaciones de iOS lo antes posible. Aunque Apple ya ha corregido las vulnerabilidades explotadas por Coruna, los dispositivos que no estén actualizados siguen en riesgo.

Para reducir la exposición a ciberataques dirigidos, los analistas de Kaspersky recomiendan:
· Centralizar la monitorización de eventos en toda la infraestructura mediante soluciones SIEM, que proporcionen visibilidad completa y mejoren la capacidad de detección.
· Mantener actualizado el sistema operativo, las aplicaciones y las soluciones de seguridad para corregir vulnerabilidades conocidas.
· Proporcionar al equipo de ciberseguridad visibilidad profunda sobre las amenazas mediante servicios de inteligencia de amenazas. La última versión de Kaspersky Threat Intelligence ofrece información detallada y relevante a lo largo de todo el ciclo de gestión de incidentes, lo que ayuda a identificar rápidamente los riesgos cibernéticos.
· Reforzar la formación del equipo para hacer frente a amenazas avanzadas.
· Establecer una protección sólida de los puntos finales y desarrollar capacidades de respuesta ante incidentes. Las soluciones de la línea de productos Kaspersky Next, gracias a sus funciones esenciales de EDR, controles avanzados, gestión de parches y seguridad en la nube, ofrecen visibilidad de las amenazas, investigación guiada y respuesta para ayudar a las empresas a repeler rápidamente los ataques evasivos con un mínimo de recursos.