Un kit de hacking de iPhone usado por espías rusos provino de un contratista militar de EE.UU.

Un kit de hacking destinado a iPhones, que fue utilizado por espías rusos, probablemente se originó en la empresa contratista militar estadounidense L3Harris. Esta información fue revelada por TechCrunch tras un análisis de herramientas de hacking utilizadas en ataques a usuarios en Ucrania y China.

La semana pasada, Google informó que en 2025 identificó un sofisticado kit de hacking de iPhone, conocido como "Coruna", que fue empleado en una serie de ataques globales. Originalmente, este kit estaba diseñado para operaciones muy específicas por un cliente gubernamental anónimo de un proveedor de vigilancia no especificado.

El kit, que consta de 23 componentes, fue utilizado inicialmente por espías del gobierno ruso contra un número limitado de ucranianos, y luego por cibercriminales chinos en campañas de robo de dinero y criptomonedas. Investigadores de la empresa de ciberseguridad móvil iVerify, que analizaron Coruna, sugirieron que su desarrollo podría haber sido realizado por una compañía que vendió la tecnología al gobierno de EE.UU.

Dos exempleados de L3Harris afirmaron que Coruna fue, en parte, desarrollado por la división de tecnología de hacking y vigilancia de la empresa, conocida como Trenchant. Ambos hablaron bajo condición de anonimato, ya que no estaban autorizados a discutir su trabajo.

Uno de ellos mencionó que "Coruna era definitivamente un nombre interno de un componente" y agregó que los detalles técnicos que Google publicó le resultaban familiares.

El kit de hacking de Trenchant se vendía exclusivamente al gobierno de EE.UU. y sus aliados en la alianza de inteligencia Five Eyes, que incluye a Australia, Canadá, Nueva Zelanda y el Reino Unido. Esto plantea la posibilidad de que Coruna fuera originalmente adquirido y utilizado por una de las agencias de inteligencia de estos gobiernos antes de caer en manos no deseadas.

Un portavoz de L3Harris no respondió a la solicitud de comentarios sobre el asunto.

Un kit de hacking que viajó por el mundo

La transición de Coruna desde un contratista gubernamental de los Five Eyes a un grupo de hackers rusos y luego a una banda de cibercriminales chinos no está del todo clara. Sin embargo, existen similitudes con el caso de Peter Williams, un exgerente de Trenchant, quien vendió herramientas de hacking a Operation Zero, una empresa rusa que ofrece grandes sumas de dinero a cambio de exploits de día cero.

Williams, un ciudadano australiano de 39 años, fue condenado a siete años de prisión tras admitir que había robado y vendido ocho herramientas de hacking por 1.3 millones de dólares. El gobierno de EE.UU. lo acusó de traicionar a su país y a sus aliados, al filtrar herramientas que permitían acceder a millones de computadoras y dispositivos en todo el mundo.

La Operation Zero, que fue sancionada por el gobierno de EE.UU. el mes pasado, afirma trabajar exclusivamente con el gobierno ruso y empresas locales. Se alega que vendió herramientas robadas a al menos un usuario no autorizado.

Esto podría explicar cómo el grupo de espionaje ruso, identificado por Google como UNC6353, adquirió Coruna y la utilizó en sitios web comprometidos para hackear usuarios de iPhone que visitaban esos sitios.

Una vez que Operation Zero adquirió Coruna, es posible que la haya revendido a otros, como otro intermediario, otro país o incluso directamente a cibercriminales. El Departamento del Tesoro de EE.UU. alegó que un miembro de la banda de ransomware Trickbot colaboró con Operation Zero, lo que conecta al intermediario con hackers motivados financieramente.

El kit Coruna fue diseñado para hackear modelos de iPhone que ejecutan iOS 13 hasta 17.2.1, lanzados entre septiembre de 2019 y diciembre de 2023. Estas fechas coinciden con el período de algunos de los filtraciones de Williams y el descubrimiento de la Operation Triangulation.

Los investigadores de Kaspersky informaron que Coruna fue vinculado a la Operation Triangulation porque ambos explotan las mismas vulnerabilidades: Photon y Gallium. Sin embargo, la atribución de la operación no se puede basar únicamente en estas vulnerabilidades, ya que cualquier persona podría haberlas aprovechado.

El logo creado por Kaspersky para la campaña de Triangulación, que representa una manzana compuesta de varios triángulos, recuerda al logo de L3Harris, lo que podría no ser una coincidencia. Kaspersky ha afirmado que no atribuiría públicamente una campaña de hacking mientras señalaba en privado que conocía a los responsables.

Apple, Google, Kaspersky y Operation Zero no respondieron a las solicitudes de comentarios sobre el asunto.