42.000 iPhone compromessi: cosa c'è dietro l'exploit kit governativo 'Coruna'

I ricercatori di sicurezza di Google Threat Intelligence Group e della società di mobile security iVerify hanno portato alla luce uno degli exploit kit iOS più sofisticati mai scoperti in libera circolazione. Il toolkit, denominato "Coruna" dagli stessi sviluppatori, è capace di compromettere in maniera del tutto invisibile qualsiasi iPhone che visiti un sito web malevolo, senza che l'utente debba compiere alcuna azione aggiuntiva. Quello che lo rende ancor più allarmante è la sua probabile origine: secondo iVerify, le caratteristiche del codice puntano con forza verso un coinvolgimento iniziale del governo degli Stati Uniti.

Come funziona Coruna

Il toolkit, spiega Google, sfrutta cinque catene di exploit complete e un totale di 23 vulnerabilità presenti in vecchie versioni di iOS comprese tra iOS 13 (settembre 2019) e iOS 17.2.1 (dicembre 2023). L'attacco si innesca nel momento in cui un utente visita un sito web compromesso: uno script JavaScript nascosto rileva in modo silenzioso il modello del dispositivo, la versione di iOS installata e le impostazioni di sicurezza, prima di avviare una sequenza di exploit a più stadi. L'obiettivo finale è installare un payload denominato PlasmaLoader, un programma con accesso root che opera in background e che può scaricare moduli aggiuntivi, raccogliere frammenti di testo e sottrarre informazioni finanziarie, come dati relativi a portafogli di criptovalute.

Il toolkit verifica anche la presenza della Modalità di blocco (Lockdown Mode) di Apple e, se la rileva attiva, interrompe l'attacco. Questo dettaglio conferma l'alto livello di sofisticazione del progetto e lascia intendere che Coruna sia stato concepito per operare in modo selettivo, evitando obiettivi particolarmente protetti. Per i dispositivi compatibili, l'aggiornamento a iOS 26 neutralizza tutte le vulnerabilità note sfruttate da Coruna; al momento del rilevamento, circa il 74% degli iPhone aggiornabili aveva già installato questa versione.

Le origini: un'arma di stato fuori controllo?

La parte più inquietante della vicenda riguarda la provenienza del toolkit. iVerify, dopo aver condotto un'analisi di reverse engineering approfondita, ha rilevato che il codice di Coruna presenta forti analogie con strumenti pubblicamente attribuiti al governo statunitense, tra cui componenti già associati all'operazione "Triangulation", la campagna di spionaggio iOS scoperta nel 2023 che aveva preso di mira i dipendenti di Kaspersky e che la Russia ha attribuito alla NSA. La documentazione interna al codice è scritta in inglese madrelingua, un ulteriore indizio sull'origine anglofona degli sviluppatori.

Fonte: Google Threat Intelligence

"È altamente sofisticato, ha richiesto milioni di dollari per essere sviluppato e presenta le caratteristiche di altri moduli pubblicamente attribuiti al governo statunitense," ha dichiarato a Wired Rocky Cole, cofondatore di iVerify. "Questo è il primo esempio che abbiamo osservato di strumenti molto probabilmente governativi statunitensi — sulla base di quanto ci dice il codice — che sono sfuggiti al controllo e vengono ora utilizzati sia dai nostri avversari sia da organizzazioni criminali." Secondo le ricostruzioni, il toolkit sarebbe stato inizialmente sviluppato da un contractor privato per conto del governo, per poi fuoriuscire dai canali ufficiali e diffondersi sul mercato nero.

La diffusione: da Mosca alla criminalità organizzata

Google ha tracciato la storia operativa di Coruna in tre fasi distinte. La prima risale al febbraio 2025, quando il toolkit è stato individuato in uso da parte di un cliente non identificato di una società di sorveglianza commerciale. Pochi mesi dopo, nel luglio 2025, una versione dello stesso exploit è stata rilevata su siti web ucraini compromessi, nell'ambito di un'operazione attribuita a un gruppo di spionaggio russo, che lo ha utilizzato contro un numero imprecisato di cittadini ucraini. Nella fase più recente, Coruna è comparso su piattaforme di gioco d'azzardo e criptovalute in lingua cinese, impiegato questa volta da gruppi di cybercrime a scopo di lucro per sottrarre asset digitali.

iVerify stima che circa 42.000 dispositivi siano stati già compromessi, definendo questa campagna il "primo attacco iOS di massa" di questa natura. La firma di sicurezza ha inoltre rilevato che le versioni del toolkit diffuse nel cybercrime incorporano strati di malware meno sofisticato sovrapposti al nucleo originale governativo, segno che Coruna è ora una piattaforma su cui diversi attori costruiscono le proprie operazioni.

Il nodo delle backdoor governative

La vicenda Coruna riporta al centro del dibattito la questione delle backdoor nei sistemi di cifratura. Per anni Apple si è opposta fermamente alle richieste di governi e forze dell'ordine di introdurre accessi privilegiati nelle proprie piattaforme, sostenendo che non esiste una "porta sul retro" che possa restare esclusivo appannaggio dei "buoni". La diffusione incontrollata di Coruna sembra dare ragione a questa posizione. La sola difesa concreta resta, nel frattempo, l'aggiornamento costante del software dei propri dispositivi.