L3Harris habría creado herramientas para hackear iPhone que terminaron en manos rusas y chinas

Un nuevo reporte apunta a que Coruna, un sofisticado kit de hackeo para iPhone usado por espías rusos en Ucrania y luego por ciberdelincuentes chinos para robar dinero y criptomonedas, habría sido desarrollado al menos en parte por Trenchant, división de L3Harris. El caso vuelve a poner el foco sobre cómo herramientas creadas para inteligencia estatal pueden filtrarse y circular entre actores hostiles.
***

• Dos ex empleados de L3Harris dijeron que Coruna habría sido desarrollado, al menos en parte, por la división Trenchant.
• Google detectó el uso del kit en 2025 contra usuarios de iPhone en Ucrania y China, incluyendo campañas para robo de dinero y criptomonedas.
• La historia se cruza con Peter Williams, ex gerente de Trenchant condenado por vender ocho herramientas de hackeo a la firma rusa Operation Zero.

Un sofisticado kit de hackeo para iPhone, utilizado primero en operaciones selectivas y más tarde por espías rusos y ciberdelincuentes chinos, habría sido desarrollado al menos en parte por Trenchant, la división de vigilancia y explotación del contratista militar estadounidense L3Harris. La revelación agrega una nueva capa a un caso delicado para la ciberseguridad global, porque sugiere que capacidades destinadas a gobiernos aliados terminaron circulando entre actores hostiles.

El kit fue bautizado como Coruna por su desarrollador original. Según hallazgos conocidos la semana pasada, Google descubrió a lo largo de 2025 que esta plataforma ofensiva fue desplegada en una serie de ataques a escala global. En su recorrido, habría pasado de un cliente gubernamental no identificado a espías del gobierno ruso que apuntaron a un número limitado de personas en Ucrania, y después a ciberdelincuentes chinos que la usaron en campañas de gran escala para robar dinero y criptomonedas.

El caso importa especialmente para el ecosistema cripto porque confirma una tendencia cada vez más clara. Herramientas de espionaje de alto nivel ya no se limitan a la recolección de inteligencia estatal. Cuando se filtran, pueden ser reutilizadas para fraudes financieros, vaciado de billeteras y robo de activos digitales, elevando el riesgo para usuarios que ni siquiera son objetivos políticos.

Qué es Coruna y por qué su origen genera alarma

Google describió a Coruna como un kit compuesto por 23 componentes distintos. La empresa dijo que fue usado por primera vez en operaciones altamente dirigidas por un cliente gubernamental no identificado de un proveedor de vigilancia tampoco identificado. Más adelante, el mismo conjunto de herramientas apareció en ataques del grupo ruso UNC6353 y en campañas vinculadas a ciberdelincuentes chinos.

Investigadores de la firma de ciberseguridad móvil iVerify, que analizaron el kit de forma independiente, concluyeron que probablemente fue construido originalmente por una empresa que lo vendió al gobierno de Estados Unidos. Esa evaluación no fue presentada como una certeza absoluta, pero reforzó las sospechas sobre una procedencia occidental del arsenal usado para vulnerar iPhone.

Dos ex empleados de L3Harris dijeron a TechCrunch que Coruna fue desarrollado, al menos parcialmente, por Trenchant. Ambos hablaron bajo condición de anonimato porque no estaban autorizados a comentar sobre su trabajo. Uno de ellos aseguró que el malware era sin duda un nombre interno de un componente y añadió que muchos de los detalles técnicos publicados por Google le resultaban familiares.

Ese ex empleado también indicó que el kit de Trenchant alojaba varios componentes distintos, entre ellos Coruna y los exploits relacionados. Un segundo ex trabajador confirmó que algunos de los detalles incluidos en el material técnico divulgado provenían de la empresa.

Trenchant vende sus herramientas de hackeo y vigilancia exclusivamente al gobierno de Estados Unidos y a sus aliados de la alianza de inteligencia Five Eyes, integrada por Australia, Canadá, Nueva Zelanda y Reino Unido. Dado ese grupo reducido de clientes, una posibilidad es que Coruna haya sido adquirido y usado primero por alguna agencia de inteligencia de esos países antes de filtrarse. Sin embargo, no está claro qué proporción exacta del kit publicado fue desarrollada por L3Harris Trenchant.

Cómo un arsenal estatal pudo terminar en manos rusas y chinas

La ruta que siguió Coruna desde un contratista vinculado a gobiernos del bloque Five Eyes hasta un grupo ruso y luego una red criminal china sigue sin aclararse por completo. Aun así, varios elementos del caso recuerdan al proceso judicial contra Peter Williams, ex gerente general de Trenchant.

Desde 2022 hasta su renuncia a mediados de 2025, Williams vendió ocho herramientas de hackeo de la empresa a Operation Zero, una firma rusa conocida por ofrecer millones de dólares por exploits de día cero. El australiano de 39 años fue condenado el mes pasado a siete años de prisión después de admitir que robó y vendió esas herramientas por USD $1.300.000.

El gobierno estadounidense afirmó que Williams, quien tenía acceso total a las redes de Trenchant, traicionó a Estados Unidos y sus aliados. Los fiscales sostuvieron que filtró herramientas capaces de permitir acceso potencial a millones de computadoras y dispositivos en todo el mundo, lo que sugiere que se apoyaban en vulnerabilidades presentes en software ampliamente usado, incluido iOS.

Operation Zero fue sancionada por el gobierno de Estados Unidos el mes pasado. La firma asegura trabajar exclusivamente con el gobierno ruso y empresas locales. El Tesoro estadounidense afirmó que el intermediario ruso vendió las herramientas robadas por Williams a por lo menos un usuario no autorizado.

Ese punto ayuda a explicar cómo el grupo de espionaje ruso UNC6353 habría obtenido Coruna. Según lo descrito por Google, el grupo desplegó el kit en sitios web ucranianos comprometidos, de modo que determinados usuarios de iPhone en una geolocalización específica fueran infectados al visitar sin saberlo esas páginas maliciosas.

Otra posibilidad es que, una vez en poder de Operation Zero, el kit fuera revendiendo a terceros. Eso podría incluir otro intermediario, otro país o incluso criminales comunes. El Tesoro de Estados Unidos alegó que un miembro de la banda de ransomware Trickbot trabajó con Operation Zero, un dato que conecta al corredor ruso con actores motivados por ganancias.

Más tarde, Coruna podría haber pasado por nuevas manos hasta llegar a hackers chinos. Los fiscales estadounidenses dijeron que Williams reconoció código escrito por él y vendido a Operation Zero que luego fue usado por un intermediario surcoreano. Esa cadena sugiere un mercado gris transnacional donde herramientas ofensivas cambian de dueño con rapidez.

La conexión con Operation Triangulation

Google señaló esta semana que dos exploits específicos de Coruna y las vulnerabilidades subyacentes, llamadas Photon y Gallium por sus desarrolladores originales, fueron usados como días cero en Operation Triangulation. Esa fue una sofisticada campaña de hackeo presuntamente dirigida contra usuarios de iPhone en Rusia y revelada por Kaspersky en 2023.

Rocky Cole, cofundador de iVerify y ex empleado de la Agencia de Seguridad Nacional de Estados Unidos, dijo que la mejor explicación con base en lo conocido hoy apunta a Trenchant y al gobierno estadounidense como desarrolladores originales y clientes de Coruna. Aun así, aclaró que no lo afirmaba de forma definitiva.

Su evaluación se apoya en tres factores. El primero es que la cronología de uso de Coruna coincide con las filtraciones de Williams. El segundo es que la estructura de tres módulos, Plasma, Photon y Gallium, muestra fuertes similitudes con Triangulation. El tercero es que Coruna reutilizó algunos de los mismos exploits empleados en esa operación.

Cole añadió que personas cercanas a la comunidad de defensa sostienen que Plasma fue utilizado en Operation Triangulation, aunque no existe evidencia pública al respecto. Tanto Google como iVerify dijeron que Coruna fue diseñada para vulnerar modelos de iPhone con iOS 13 hasta iOS 17.2.1, versiones publicadas entre septiembre de 2019 y diciembre de 2023. Esas fechas encajan con parte del calendario de filtraciones atribuidas a Williams y con el período en que fue detectada Triangulation.

Uno de los ex empleados de Trenchant dijo que cuando Triangulation salió a la luz en 2023, dentro de la compañía algunos trabajadores creían que al menos uno de los días cero capturados por Kaspersky era suyo y posiblemente había sido arrastrado fuera del proyecto general que incluía a Coruna. Otro indicio mencionado por el investigador Costin Raiu es el uso de nombres de aves para algunas de las 23 herramientas, como Casuario, Terrorbird, Bluebird, Jacurutu y Sparrow.

Ese patrón recuerda un antecedente conocido. En 2021, The Washington Post reveló que Azimuth, una de las dos startups luego adquiridas por L3Harris y fusionadas en Trenchant, había vendido al FBI una herramienta de hackeo llamada Condor en el célebre caso del iPhone de San Bernardino.

Las dudas de atribución y el impacto del caso

Después de la publicación de la investigación de Kaspersky sobre Operation Triangulation, el Servicio Federal de Seguridad de Rusia acusó a la NSA de hackear miles de iPhones en Rusia, con especial foco en diplomáticos.

En ese momento, un portavoz de Kaspersky dijo que la empresa no tenía información que respaldara esas afirmaciones, aunque sí señaló que los indicadores de compromiso identificados por el NCCCI ruso coincidían con los detectados por su propia investigación.

Boris Larin, investigador de seguridad de Kaspersky, dijo por correo electrónico que, pese a una extensa investigación, no pudieron atribuir Operation Triangulation a ningún grupo APT conocido ni a ninguna empresa de desarrollo de exploits. También explicó que la conexión entre Coruna y Triangulation hecha por Google se basa en que ambos explotan Photon y Gallium.

Larin advirtió que la atribución no puede sostenerse solo por el uso de esas dos vulnerabilidades, ya que los detalles técnicos de ambas llevan mucho tiempo disponibles públicamente. En sus palabras, esas fallas compartidas son apenas la punta del iceberg. Esa cautela es relevante porque, en ciberseguridad, reutilizar exploits no prueba por sí mismo el origen de una operación.

Aun así, el conjunto de señales ha despertado especulación. El logotipo creado por Kaspersky para Triangulation, una manzana formada por varios triángulos, recuerda al de L3Harris, mientras que el logo de Trenchant está compuesto por dos triángulos. La coincidencia puede no significar nada, pero también encaja con antecedentes donde la empresa de seguridad evitó una atribución pública directa mientras insinuaba visualmente al responsable.

El periodista Patrick Gray dijo el miércoles en un episodio de su pódcast Risky Business que cree, a partir de piezas de información que considera confiables, que lo filtrado por Williams a Operation Zero fue el kit de hackeo usado en la campaña Triangulation.

Para la industria cripto y para usuarios de dispositivos móviles, el episodio deja una lección incómoda. Cuando un exploit de calidad estatal sale de su circuito original, puede migrar con rapidez hacia espionaje geopolítico, fraude financiero y robo de criptomonedas. En ese contexto, la frontera entre operaciones de inteligencia y crimen digital se vuelve cada vez más delgada.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín