Nel mondo della sicurezza mobile, spesso e volentieri ci troviamo a parlare di vulnerabilità teoriche, exploit complessi o attacchi mirati a bersagli ben specifici. Questa volta però, il quadro è decisamente diverso: un exploit kit per iOS, chiamato Coruna, avrebbe compromesso circa 42.000 iPhone, configurandosi come la prima campagna di massa documentata contro il sistema operativo mobile di Apple.

A far emergere il caso sono stati il Google Threat Intelligence Group e la società di sicurezza mobile iVerify, che hanno analizzato in profondità il funzionamento del toolkit, ricostruendone diffusione e potenziali origini; ciò che emerge dall’indagine è, per certi versi, ancora più interessante del numero di dispositivi coinvolti.

Offerta

Xiaomi 17 Ultra, 512GB + TV A Pro 50''

1500.9€ invece di 1898.9€
-21%
Amazon 🛒

Coruna è un exploit kit sofisticato e modulare

Coruna non è un semplice malware, ma un vero e proprio exploit kit strutturato, in grado di sfruttare cinque catene complete di vulnerabilità per un totale di 23 falle presenti nelle versioni di iOS comprese tra iOS 13 e iOS 17.2.1. Parliamo quindi di un arco temporale molto ampio, che copre diversi anni di aggiornamenti del sistema operativo.

Il meccanismo di infezione, almeno nella fase iniziale, è tanto semplice quanto insidioso; l’utente visita un sito web compromesso (spesso portali legati a criptovalute o contenuti per adulti) e uno script JavaScrpt nascosto esegue una sorta di ricognizione del dispositivo, identificando modello, versione di iOS e configurazione di sicurezza. A quel punto viene selezionata automaticamente la catena di exploit più adatta e viene caricato un payload che ottiene privilegi elevati, il tutto senza richiedere alcuna azione specifica da parte dell’utente.

Il componente finale, denominato PlasmaLoader, si integra nei processi di sistema e permette agli attaccanti di estrarre dati sensibili, in particolare informazioni finanziarie e legate ai portafogli crypto. Il malware è inoltre progettato per cercare parole chiave specifiche, frasi di recupero BIP39 e persino QR code nelle immagini salvate sul dispositivo, dimostrando un livello di specializzazione che va ben oltre il classico software generalista.

Segui APPLE Italia su Telegram, ricevi news e offerte per primo

Dallo spionaggio mirato alla diffusione di massa

Uno degli aspetti più rilevanti della vicenda riguarda l’evoluzione nell’utilizzo di Coruna. Secondo le ricostruzioni, l’exploit kit sarebbe stato inizialmente impiegato in contesti di sorveglianza mirata, per poi essere utilizzato in campagne legate allo spionaggio internazionale e, infine, finire in operazioni di cybercriminalità su larga scala.

È proprio in quest’ultima fase che si arriva al dato dei 42.000 dispositivi compromessi, un numero che segna un cambio di paradigma per iOS. Non più attacchi selettivi contro target di valore, ma una distribuzione ampia e opportunistica, in particolare attraverso siti finanziari e crypto in lingua cinese.

Questa transizione è forse l’elemento più significativo, strumenti nati per operazioni sofisticate e presumibilmente statali che, una volta usciti dal loro contesto originario, vengono riutilizzati in campagne criminali di massa.

Segui APPLE Italia su Telegram, ricevi news e offerte per primo

Le possibili origini e il nodo delle backdoor

L’analisi tecnica condotta da iVerify suggerisce similitudini con strumenti precedentemente attribuiti a entità governative statunitensi, inclusi elementi che ricordano l’Operazione Triangolazione del 2023. La documentazione interna in inglese madrelingua e alcune tecniche di bypass non pubbliche rafforzerebbero questa ipotesi, anche se al momento non esiste una conferma ufficiale definitiva.

Il tema che inevitabilmente riemerge è quello delle backdoor e degli exploit tenuti nel cassetto da governi e agenzie. La storia insegna che quando strumenti di questo tipo sfuggono al controllo iniziale, possono trasformarsi in armi a disposizione di attori molto meno controllabili.

Apple, da sempre molto rigida nel rifiutare l’idea di porte sul retro nei propri sistemi, vede indirettamente rafforzata la propria posizione: una vulnerabilità non divulgata, anche se sviluppata con finalità di intelligence, può diventare un problema globale nel momento in cui viene riutilizzata o venduta.

Segui APPLE Italia su Telegram, ricevi news e offerte per primo

Aggiornamenti e Lockdown Mode: la difesa funziona

C’è però anche un elemento positivo, Coruna non risulta efficace contro le versioni più recenti di iOS e interrompe l’attacco nel caso in cui rilevi la Modalità Blocco attiva; questo significa che le patch rilasciate da Apple hanno effettivamente corretto le vulnerabilità sfruttate dal toolkit.

Al momento della scoperta, circa il 74% degli iPhone aggiornabili aveva già installato una versione corretta del sistema operativo, un dato che conferma quanto l’ecosistema Apple riesca generalmente a garantire una distribuzione rapida degli aggiornamenti.

In altre parole, la difesa più efficace resta quella più semplice: mantenere il dispositivo aggiornato.

Segui APPLE Italia su Telegram, ricevi news e offerte per primo

Un caso che cambia la percezione della sicurezza su iOS

Molti di voi potrebbero aver sempre considerato iOS come una piattaforma quasi impenetrabile, soprattutto nel confronto con Android; la realtà, come dimostra il caso Coruna, è più complessa: nessun sistema è immune quando entrano in gioco exploit zero-day di livello statale e catene di vulnerabilità ben orchestrate.

La differenza, semmai, sta nella rapidità di risposta e nella capacità di mitigazione. In questo caso, gli aggiornamenti hanno chiuso le falle e la modalità di sicurezza avanzata si è dimostrata efficace.

Resta però un precedente importante, il primo exploit kit iOS documentato che passa da strumento di sorveglianza sofisticato a piattaforma di attacco di massa, e questo, nel 2026, cambia inevitabilmente il modo in cui guardiamo alla sicurezza mobile.

Potrebbero interessarti anche:

I nostri contenuti da non perdere: