ztevenreal
Coruña todavía destaca por su uso por parte de tres grupos de hackers distintos. Google detectó por primera vez su uso en febrero del año pasado en una operación realizada por un “cliente de un proveedor de vigilancia”. La vulnerabilidad explotada, identificada como CVE-2025-23222, había sido parcheada 13 meses antaño. En julio de 2025, un “supuesto comunidad de espionaje ruso” aprovechó CVE-2023-43000 en ataques realizados en sitios web frecuentados por objetivos ucranianos. En diciembre pasado, cuando fue utilizado por un “actor de amenazas de China con motivación financiera”, Google pudo recuperar el kit de explotación completo.
“No está claro cómo se produjo esta proliferación, pero sugiere un mercado activo para exploits de día cero de ‘segunda mano'”, escribió Google. “Más allá de estos exploits identificados, múltiples actores de amenazas han adquirido técnicas de explotación avanzadas que pueden reutilizarse y modificarse con vulnerabilidades recientemente identificadas”.
Los investigadores de Google continuaron escribiendo:
Recuperamos todos los exploits ofuscados, incluidas las cargas aperos finales. Tras un estudio más detallado, notamos un caso en el que el actor implementó la interpretación de depuración del kit de exploits, dejando sin problemas todos los exploits, incluidos sus nombres de código internos. Fue entonces cuando supimos que el kit de exploits probablemente se llamaba internamente Coruña. En total, recopilamos unos cientos de muestras que cubren un total de cinco cadenas completas de exploits de iOS. El kit de exploits puede apuntar a varios modelos de iPhone que ejecutan la interpretación 13.0 de iOS (rejonazo en septiembre de 2019) hasta la interpretación 17.2.1 (rejonazo en diciembre de 2023).
Los 23 exploits, unido con los nombres en esencia y otra información, son:
| Tipo | Nombre esencia | Versiones específicas (inclusive) | Versiones fijas | CVE |
| Contenido web R/W | pulir | 13 → 15.1.1 | 15.2 | CVE-2021-30952 |
| Contenido web R/W | jacuruto | 15.2 → 15.5 | 15.6 | CVE-2022-48503 |
| Contenido web R/W | azulejo | 15.6 → 16.1.2 | 16.2 | Sin CVE |
| Contenido web R/W | pájaro terror | 16.2 → 16.5.1 | 16.6 | CVE-2023-43000 |
| Contenido web R/W | casuario | 16.6 → 17.2.1 | 16.7.5, 17.3 | CVE-2024-23222 |
| Omisión de contenido web PAC | ventoso | 13 → 14.x | ? | Sin CVE |
| Omisión de contenido web PAC | ventoso15 | 15 → 16.2 | ? | Sin CVE |
| Omisión de contenido web PAC | campanilla | 16.3 → 16.5.1 | ? | Sin CVE |
| Omisión de contenido web PAC | campanilla_16_6 | 16.6 → 16.7.12 | ? | Sin CVE |
| Omisión de contenido web PAC | campanilla_17 | 17 → 17.2.1 | ? | Sin CVE |
| Escape de la zona de pruebas de contenido web | Cargador de hierro | 16.0 → 16.3.116.4.0 ( | 15.7.8, 16.5 | CVE-2023-32409 |
| Escape de la zona de pruebas de contenido web | Cargador de neuronas | 16.4.0 → 16.6.1 (A13-A16) | 17.0 | Sin CVE |
| educación física | Neutrón | 13.X | 14.2 | CVE-2020-27932 |
| PE (hojas informativas) | Dinamo | 13.X | 14.2 | CVE-2020-27950 |
| educación física | Péndulo | 14 → 14.4.x | 14.7 | Sin CVE |
| educación física | Fotón | 14.5 → 15.7.6 | 15.7.7, 16.5.1 | CVE-2023-32434 |
| educación física | Paralaje | 16.4 → 16.7 | 17.0 | CVE-2023-41974 |
| educación física | gruber | 15.2 → 17.2.1 | 16.7.6, 17.3 | Sin CVE |
| Desvío de PPL | Cuarc | 13.X | 14.5 | Sin CVE |
| Desvío de PPL | Galio | 14.x | 15.7.8, 16.6 | CVE-2023-38606 |
| Desvío de PPL | carbono | 15.0 → 16.7.6 | 17.0 | Sin CVE |
| Desvío de PPL | Pardal | 17,0 → 17,3 | 16.7.617,4 | CVE-2024-23225 |
| Desvío de PPL | Cohete | 17.1 → 17.4 | 16.7.8, 17.5 | CVE-2024-23296 |
CISA está añadiendo sólo tres de los CVE a su catálogo. Ellos son:
- CVE-2021-30952 Vulnerabilidad envolvente o desbordamiento de enteros en varios productos de Apple
- CVE-2023-41974 Vulnerabilidad de uso a posteriori de la huida de Apple iOS y iPadOS
- CVE-2023-43000 Vulnerabilidad de uso posterior a la huida de varios productos de Apple
CISA está instruyendo a las agencias a “aplicar mitigaciones según las instrucciones del proveedor, seguir las directrices aplicables… para los servicios en la aglomeración o suspender el uso del producto si las mitigaciones no están disponibles”. La agencia continuó advirtiendo: “Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberactores maliciosos y plantean riesgos importantes para la empresa federal”.
