TechCrunch se enteró de que una campaña de piratería masiva dirigida a usuarios de iPhone en Ucrania y China utilizó herramientas que probablemente fueron diseñadas por el contratista marcial estadounidense L3Harris. Las herramientas, que estaban destinadas a espías occidentales, terminaron en manos de varios grupos de hackers, incluidos espías del gobierno ruso y ciberdelincuentes chinos.

La semana pasada, Google reveló que en el transcurso de 2025 descubrió que se había utilizado un sofisticado conjunto de herramientas para piratear iPhone en una serie de ataques globales. El conjunto de herramientas, denominado “Coruña” por su desarrollador flamante, estaba compuesto por 23 componentes diferentes utilizados por primera vez “en operaciones muy específicas” por un cliente estatal desconocido de un “proveedor de vigilancia” no especificado. Luego fue utilizado por espías del gobierno ruso contra un número circunscrito de ucranianos y, finalmente, por ciberdelincuentes chinos en campañas “a gran escalera” con el objetivo de robar efectivo y criptomonedas.

Investigadores de la empresa de ciberseguridad móvil iVerify, que La Coruña analizada independientementedijeron que creían que pudo tener sido construido originalmente por una empresa que lo vendió al gobierno de Estados Unidos.

Dos ex empleados del contratista estatal L3Harris dijeron a TechCrunch que Coruña fue, al menos en parte, desarrollado por la división de tecnología de vigilancia y piratería de la compañía, Trenchant. Los dos ex empleados tenían conocimiento de las herramientas de piratería de iPhone de la empresa. Los dos hablaron bajo condición de anonimato porque no estaban autorizados a balbucir sobre su trabajo para la empresa.

“Coruña era definitivamente el nombre interno de un componente”, dijo un ex empleado de L3Harris, que estaba familiarizado con las herramientas de piratería de iPhone como parte de su trabajo en Trenchant.

“En cuanto a los detalles técnicos”, dijo esta persona, refiriéndose a algunas de las pruebas publicadas por Google, “muchos les resultan familiares”.

El ex empleado dijo que el conjunto de herramientas normal de Trenchant albergaba varios componentes diferentes, incluido Coruna y exploits relacionados. Otro ex empleado confirmó que algunos de los detalles incluidos en el conjunto de herramientas de piratería publicado procedían de Trenchant.

L3Harris vende las herramientas de piratería y vigilancia de Trenchant exclusivamente al gobierno de Estados Unidos y sus aliados en la emplazamiento alianza de inteligencia Five Eyes, que incluye a Australia, Canadá, Nueva Zelanda y el Reino Unido. Donado el número circunscrito de clientes de Trenchant, es posible que Coruña haya sido adquirido y utilizado originalmente por una de las agencias de inteligencia de estos gobiernos antiguamente de caer en manos no deseadas, aunque no está claro qué parte del conjunto de herramientas de piratería de Coruña publicado fue desarrollado por L3Harris Trenchant.

Un portavoz de L3Harris no respondió a una solicitud de comentarios.

No está claro cómo Coruña pasó de las manos de un contratista del gobierno de Five Eyes a un género de hackers del gobierno ruso y luego a una lado china de cibercrimen.

Pero algunas de las circunstancias parecen similares al caso de Peter Williams, ex director normal de Trenchant. Desde 2022 hasta que renunció a mediados de 2025, Williams vendió ocho herramientas de piratería de la empresa a Operation Zero, una empresa rusa que ofrece millones de dólares a cambio de exploits de día cero, es aseverar, vulnerabilidades que el proveedor afectado desconoce.

Williams, un ciudadano australiano de 39 abriles, fue sentenciado a siete abriles de prisión el mes pasado, luego de recibir tener robado y vendido las ocho herramientas de piratería Trenchant a Operation Zero por 1,3 millones de dólares.

El gobierno estadounidense dijo que Williams, quien aprovechó tener “comunicación total” a las redes de Trenchant, “traicionó” a Estados Unidos y sus aliados. Los fiscales lo acusaron de filtrar herramientas que podrían tener permitido a quien las usara “potencialmente entrar a millones de computadoras y dispositivos en todo el mundo”, sugiriendo que las herramientas se basaban en vulnerabilidades que afectaban a software ampliamente utilizado como iOS.

La Operación Cero, que fue sancionada por el gobierno de Estados Unidos el mes pasado, afirma trabajar exclusivamente con el gobierno ruso y empresas locales. El Caudal de Estados Unidos afirmó que el corredor ruso vendió las “herramientas robadas de Williams a al menos un usufructuario no facultado”.

Eso explicaría cómo el género de espionaje ruso, que Google sólo ha identificado como UNC6353, adquirió Coruña y lo implementó en sitios web ucranianos comprometidos para hackear desde una geolocalización específica a ciertos usuarios de iPhone que sin saberlo visitaron el sitio sagaz.

Es posible que una vez que Operation Zero adquirió Coruña y potencialmente la vendió al gobierno ruso, el corredor revendió el conjunto de herramientas a otra persona, tal vez a otro corredor, a otro país o incluso directamente a ciberdelincuentes. El Caudal alegó que un miembro de la lado de ransomware Trickbot trabajó con la Operación Cero, vinculando al corredor con piratas informáticos con motivaciones financieras.

En ese momento, Coruña pudo tener pasado a otras manos hasta durar a los hackers chinos. Según los fiscales estadounidenses, Williams reconoció el código que escribió y vendió a Operation Zero y que luego fue utilizado por un corredor de Corea del Sur.

Operación Triangulación

Los investigadores de Google escribieron el martes que dos exploits específicos de Coruña y vulnerabilidades subyacentes, llamados Photon y Gallium por sus desarrolladores originales, se utilizaron como días cero en la Operación Triangulación, una sofisticada campaña de piratería supuestamente utilizada contra usuarios rusos de iPhone. Kaspersky reveló por primera vez la Operación Triangulación en 2023.

Rocky Cole, cofundador de iVerify, dijo a TechCrunch que “la mejor explicación basada en lo que se sabe ahora” apunta a que Trenchant y el gobierno de EE. UU. son los desarrolladores y clientes originales de Coruña. Aunque, añadió Cole, no afirma esto “definitivamente”.

Esa evaluación, dijo, se base en tres factores. La columna de tiempo del uso de Coruña se alinea con las filtraciones de Williams, la estructura de tres módulos (Plasma, Fotón y Galio) encontrados en Coruña tienen fuertes similitudes con la Triangulación, y Coruña reutilizó algunos de los mismos exploits utilizados en esa operación, dijo.

Según Cole, “personas cercanas a la comunidad de defensa” afirman que se utilizó plasma en la Operación Triangulación, “aunque no hay evidencia pública de ello”. (Cole trabajó anteriormente en la Agencia de Seguridad Doméstico de EE. UU.).

Según Google e iVerify, Coruña fue diseñado para piratear modelos de iPhone con iOS 13 hasta 17.2.1, lanzados entre septiembre de 2019 y diciembre de 2023. Esas fechas coinciden con la cronología de algunas de las filtraciones de Williams y el descubrimiento de la Operación Triangulación.

Uno de los ex empleados de Trenchant le dijo a TechCrunch que cuando Triangulación se reveló por primera vez en 2023, otros empleados de la compañía creían que al menos uno de los días cero detectados por Kaspersky “era de nosotros y potencialmente ‘arrancado’ del” plan normal que incluía a Coruña.

Otra ruta de navegación que apunta a Trenchant: como señaló el investigador de seguridad Costin Raiu – es el uso de nombres de aves para algunas de las 23 herramientas, como Casuario, Terrorbird, Bluebird, Jacurutu y Sparrow. En 2021, El Washington Post reveló ese azimut, una de las dos startups seguidamente adquirido por L3Harris y fusionado con ZanjanteHabía vendido una aparejo de hacking emplazamiento Condor al FBI. en el infame caso de craqueo del iPhone de San Bernardino.

Luego de que Kaspersky publicara su investigación sobre la Operación Triangulación, el Servicio Federal de Seguridad (FSB) de Rusia acusó a la NSA de piratear “miles” de iPhones en Rusia, apuntando en particular a diplomáticos. Un portavoz de Kaspersky dijo en ese momento que la empresa no tenía información sobre las afirmaciones del FSB. El portavoz señaló que los “indicadores de compromiso”, es aseverar, evidencia de un hackeo, identificados por el Centro Doméstico de Coordinación de Incidentes Informáticos de Rusia (NCCCI) eran los mismos que había identificado Kaspersky.

Boris Larin, investigador de seguridad de Kaspersky, dijo a TechCrunch en un correo electrónico que “a pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún género conocido (Amenaza persistente destacamento) o empresa de crecimiento de exploits”.

Larin explicó que Google vinculó a Coruña con la Operación Triangulación porque los dos explotan las mismas dos vulnerabilidades: Photon y Gallium.

“La atribución no puede justificar nada más en el hecho de la explotación de estas vulnerabilidades. Todos los detalles de ambas vulnerabilidades han estado disponibles públicamente desde hace mucho tiempo”, y por lo tanto cualquiera podría tener trabajador ellas, dijo, añadiendo que esas dos vulnerabilidades compartidas “son sólo la punta del iceberg”.

Kaspersky nunca acusó públicamente al gobierno estadounidense de estar detrás de la Operación Triangulación. Curiosamente, el logo que la empresa creó para la campaña: el logo de una manzana. compuesto por varios triángulos – recuerda a el logotipo de L3Harris. Puede que no sea una coincidencia. Kaspersky ha dicho anteriormente que no atribuiría públicamente una campaña de piratería, aunque silenciosamente señaló que en ingenuidad sabía quién estaba detrás de ella o quién proporcionó las herramientas para ello.

En 2014, Kaspersky anunciado que había atrapado a un sofisticado y esquivo género de piratería estatal conocido como “Careto” (en gachupin “La Máscara”). La compañía sólo dijo que los piratas informáticos hablaban gachupin. Pero la ilustración de una máscara que la empresa utilizó en su documentación incluía los colores rojo y amarillo de la bandera de España, cuernos y nariguera de toro y castañuelas.

Como reveló TechCrunch el año pasado, los investigadores de Kaspersky habían concluido en privado que “no había duda”, como dijo uno de ellos, de que Careto estaba dirigido por el gobierno gachupin.

El miércoles, el periodista de ciberseguridad Patrick Gray dijo en un episodio de su podcast Risky Business que pensaba, basándose en “fragmentos” en los que confiaba, que lo que Williams filtró a Operación Cero era el kit de piratería utilizado en la campaña de Triangulación.

Apple, Google, Kaspersky y Operation Zero no respondieron a las solicitudes de comentarios.