Nelle ultime ore i ricercatori di sicurezza hanno rivelato l’esistenza di “Coruna”, un potente strumento di hacking capace di compromettere gli iPhone sfruttando decine di vulnerabilità. Il dettaglio più inquietante? Potrebbe essere nato come tecnologia di sorveglianza governativa, ma ora è finito anche nelle mani di criminali informatici.
Secondo gli esperti, il toolkit sarebbe già stato utilizzato in operazioni di spionaggio e campagne di furto di criptovalute che hanno colpito migliaia di utenti.
Cos’è Coruna e come riesce a entrare negli iPhone
Il caso è emerso dopo un’analisi pubblicata dal Google Threat Intelligence Group, che ha individuato questo sofisticato exploit kit progettato per attaccare iPhone con versioni di iOS comprese tra iOS 13 e iOS 17.2.1.
- iOS 26.2.1, l’avviso che sta arrivando a milioni di iPhone: perché Apple spinge ad aggiornare subito
- Apple cambia strategia: nel 2026 arrivano prima gli iPhone premium, modelli standard rinviati al 2027
- iPhone 2028: Apple cambia rotta sui chip
Coruna non è un semplice malware. Si tratta di un pacchetto di attacco estremamente complesso, composto da:
- 23 vulnerabilità sfruttate contemporaneamente
- 5 catene complete di exploit
- tecniche avanzate per bypassare le difese di sicurezza di iOS
In pratica, il sistema può prendere il controllo di un iPhone anche solo visitando un sito web compromesso. Una volta eseguito l’attacco, il malware può installarsi sul dispositivo e accedere a dati sensibili, tra cui messaggi, informazioni finanziarie e contenuti delle app.
Gli attacchi sfruttano soprattutto vulnerabilità del motore WebKit, utilizzato dal browser Safari, permettendo l’esecuzione di codice remoto e l’escalation dei privilegi all’interno del sistema.
Dallo spionaggio internazionale alle truffe online
Uno degli aspetti più inquietanti riguarda l’evoluzione dell’utilizzo di Coruna.
Le indagini indicano che il toolkit è circolato tra diversi attori nel corso del 2025:
- inizialmente usato da clienti di aziende di sorveglianza digitale
- successivamente impiegato da gruppi di spionaggio russi in attacchi contro utenti ucraini
- infine riutilizzato da cybercriminali cinesi per campagne di furto di criptovalute
In una delle campagne più recenti, il malware veniva distribuito attraverso finti siti di exchange crypto e piattaforme di gioco online, progettati per attirare utenti interessati alle criptovalute.
Gli esperti stimano che decine di migliaia di iPhone potrebbero essere stati infettati nelle campagne criminali.
Il sospetto più delicato: un’origine governativa
Un altro elemento che sta facendo discutere il mondo della cybersicurezza riguarda la possibile origine del software.
Alcuni ricercatori ritengono che il toolkit possa essere stato sviluppato inizialmente per operazioni di intelligence, probabilmente da o per un governo occidentale, e che sia poi sfuggito al controllo finendo nel mercato nero degli exploit informatici.
Il paragone che molti esperti fanno è con EternalBlue, l’arma informatica sviluppata dalla NSA e trapelata nel 2017, poi utilizzata in massicci attacchi globali come WannaCry.
Se questa ipotesi fosse confermata, Coruna rappresenterebbe uno dei primi esempi di cyberarma mobile di livello statale riutilizzata su larga scala da criminali comuni.
Chi è davvero a rischio
La buona notizia è che il toolkit non funziona sulle versioni più recenti di iOS, perché Apple ha già corretto molte delle vulnerabilità sfruttate.
Tuttavia restano vulnerabili:
- dispositivi con versioni iOS vecchie
- iPhone che non possono più ricevere aggiornamenti
- utenti che visitano siti compromessi senza protezioni aggiuntive
Gli esperti consigliano quindi alcune misure immediate:
- aggiornare il sistema operativo all’ultima versione disponibile
- attivare la Lockdown Mode, la modalità di sicurezza avanzata introdotta da Apple
- evitare siti sospetti, soprattutto legati a criptovalute o download non ufficiali.
Perché questa scoperta preoccupa gli esperti
La vicenda Coruna mette in luce un problema sempre più discusso nella cybersicurezza: la diffusione incontrollata degli exploit zero-day.
Una volta creati, questi strumenti possono finire in un mercato parallelo dove vengono acquistati, rivenduti e modificati da gruppi diversi, dagli stati agli hacker criminali.
Secondo i ricercatori, il caso Coruna potrebbe essere solo l’inizio di una nuova fase della guerra informatica, in cui strumenti sviluppati per operazioni di intelligence vengono riutilizzati su larga scala contro utenti comuni.
Le analisi sul toolkit sono ancora in corso e nelle prossime settimane potrebbero emergere nuovi dettagli su chi lo ha creato davvero e quanto si è diffuso nel mondo.
