Un sofisticato strumento di hacking capace di infiltrarsi negli iPhone sfruttando decine di vulnerabilità del sistema operativo iOS. Si chiama Coruna ed è diventato in poche settimane uno dei casi più inquietanti nel mondo della cybersicurezza: secondo diversi ricercatori potrebbe essere nato come strumento di spionaggio sviluppato per agenzie governative statunitensi e successivamente finito fuori controllo, nelle mani di hacker e criminali informatici.
La scoperta arriva da un’indagine congiunta di esperti di sicurezza, tra cui il Google Threat Intelligence Group (GTIG) e la società specializzata iVerify, che hanno analizzato il codice e il funzionamento del toolkit. Il quadro che emerge è quello di un software estremamente sofisticato, capace di aggirare le difese degli smartphone Apple e di installare malware sui dispositivi senza che l’utente si accorga di nulla.
Cos’è Coruna e come funziona
Coruna non è un semplice virus, ma un exploit kit, cioè un pacchetto di strumenti progettato per sfruttare vulnerabilità del sistema operativo. Nel caso degli iPhone, il toolkit utilizza 23 vulnerabilità diverse di iOS, organizzate in cinque catene di attacco complete.
Il meccanismo è relativamente semplice per chi lo utilizza ma estremamente sofisticato a livello tecnico.
Basta che la vittima visiti un sito web compromesso: uno script nascosto analizza il modello di iPhone, la versione del sistema operativo e le impostazioni di sicurezza. A quel punto avvia una sequenza di exploit che permette agli aggressori di prendere il controllo del dispositivo.
Una volta compromesso lo smartphone, gli hacker possono:
- accedere ai dati personali
- leggere messaggi e file multimediali
- estrarre informazioni sensibili
- rubare credenziali o criptovalute
- installare ulteriore spyware.
Il malware è in grado di colpire iPhone con versioni di iOS dalla 13 alla 17.2.1, una fascia molto ampia di dispositivi ancora in circolazione.
L’ipotesi più inquietante: un’origine governativa
Ciò che rende il caso Coruna particolarmente controverso è la possibile origine del toolkit.
Secondo l’analisi di iVerify, il software presenta caratteristiche tipiche degli strumenti sviluppati da agenzie statali:
- codice altamente strutturato
- exploit costosi e complessi
- documentazione in inglese
- somiglianze con altri framework usati in operazioni di intelligence.
Gli esperti ritengono quindi plausibile che Coruna sia stato creato da contractor o strutture legate al governo degli Stati Uniti, probabilmente per operazioni di spionaggio mirate contro avversari geopolitici come la Russia.
Non sarebbe la prima volta che strumenti di cyber-spionaggio governativi finiscono fuori controllo. Un caso celebre è quello di EternalBlue, un exploit attribuito alla NSA e poi trapelato online, utilizzato nel 2017 negli attacchi globali WannaCry. (
Dallo spionaggio alla criminalità informatica
Le indagini mostrano che Coruna è stato usato inizialmente in operazioni di cyber-spionaggio mirato, per esempio in attacchi contro obiettivi ucraini attribuiti a gruppi vicini alla Russia.
Successivamente però lo strumento è comparso anche in campagne puramente criminali. Alcuni hacker lo hanno utilizzato su siti web dedicati a criptovalute e gioco online, con l’obiettivo di rubare asset digitali agli utenti.
Secondo gli esperti di sicurezza, questo passaggio dimostra un problema strutturale: il mercato globale degli spyware e degli exploit è poco regolamentato. Quando questi strumenti vengono venduti o ceduti tra aziende e governi, è difficile controllare chi finirà per utilizzarli realmente.
Migliaia di iPhone compromessi
Le analisi indicano che il malware potrebbe aver già compromesso decine di migliaia di dispositivi in tutto il mondo.
Il caso è particolarmente rilevante perché gli iPhone sono tradizionalmente considerati tra gli smartphone più sicuri. Coruna rappresenta uno dei primi esempi documentati di attacco di massa contro iOS, un sistema operativo generalmente più difficile da violare rispetto ad altri.
Le contromisure: aggiornamenti e modalità Lockdown
Apple ha già rilasciato aggiornamenti di sicurezza per correggere alcune delle vulnerabilità sfruttate dal toolkit. Gli esperti raccomandano agli utenti di:
- aggiornare immediatamente iOS alla versione più recente
- evitare siti web sospetti
- attivare, se necessario, la Lockdown Mode, una modalità di sicurezza avanzata introdotta per contrastare spyware sofisticati.