Kaspersky smentisce ogni legame tra il kit exploit Coruna per iPhone e operazioni legate all’NSA.
Un recente kit di exploit per iPhone, noto come Coruna, ha suscitato polemiche per presunti collegamenti con attacchi attribuiti a servizi segreti americani. Esperti come quelli di Kaspersky hanno però chiaramente negato qualsiasi riutilizzo di codice o connessione diretta con l’operazione Triangulation del 2023, che colpì diplomatici russi. Per proteggere il tuo iPhone subito: aggiorna iOS all’ultima versione disponibile, evita siti sospetti e usa un antivirus affidabile. Questo riassunto ti dà il contesto essenziale e una soluzione rapida per stare al sicuro.
Il kit Coruna è stato identificato circa un anno fa da ricercatori specializzati in minacce digitali. Si tratta di un’arma cibernetica avanzatissima, capace di compromettere dispositivi iPhone semplicemente visitando un sito web malevolo. Non è legato a un singolo attore: è stato usato da vari gruppi, inclusi spyware commerciali, spie statali e criminali finanziari. La soluzione immediata? Mantieni il sistema aggiornato, poiché le vulnerabilità sfruttate sono già state patchate nelle versioni recenti di iOS.
Cos’è il kit exploit Coruna?
Coruna è un arsenale di 23 vulnerabilità distinte, organizzate in cinque catene di exploit complete, mirate a versioni iOS da 13.0 (settembre 2019) a 17.2.1 (dicembre 2023). Non funziona su iOS più recenti. È stato tracciato per la prima volta a febbraio 2025, usato da un cliente di un’azienda di sorveglianza. Successivamente, in estate 2025, è comparso in attacchi su siti ucraini compromessi – pensati per spionaggio, forse russo – legati a attrezzature industriali, servizi locali e e-commerce. Il framework JavaScript era caricato via iFrame nascosto, attivato solo per utenti iPhone da geolocalizzazioni specifiche.
A fine 2025, lo stesso kit è emerso su un gran numero di falsi siti cinesi su finanza e criptovalute. Questi siti spingevano gli utenti a visitarli da dispositivi iOS, iniettando l’iFrame per installare il kit. Un payload finale decodificava QR code, cercava frasi come “backup phrase” o “conto bancario”, e rubava dati da wallet crypto come Metamask o BitKeep.
Questi usi diversificati indicano un mercato attivo di zero-day di seconda mano, dove exploit potenti passano da governi a criminali ben finanziati. È il primo caso noto di sfruttamento di massa su iOS, passando da attacchi mirati a operazioni su larga scala.
Le accuse di legami con gli USA e la risposta di Kaspersky
Alcuni esperti, analizzando il codice, hanno notato somiglianze con exploit di Operation Triangulation (2023), attribuita dalla Russia all’NSA. Vulnerabilità come CVE-2023-32434 (Photon) e CVE-2023-38606 (Gallium) appaiono in entrambi. Photon concede controllo sul kernel iOS, il cuore del sistema; Gallium bypassa protezioni hardware sui chip Apple.
Un ricercatore ha suggerito che Coruna sia uno strumento governativo USA “fuori controllo”, costato milioni e usato da avversari e criminali. I codename in inglese – come “cassowary” per CVE-2024-23222 o “Neutron” per CVE-2020-27932 – hanno alimentato sospetti.
Kaspersky, però, è categorico: “Nessuna evidenza di riutilizzo di codice”. Le vulnerabilità sono pubbliche, e team skilled possono crearne exploit indipendenti. Non è una prova di origine comune. Un ricercatore principale ha spiegato: questi bug non sono banali, ma la loro presenza non implica condivisione di codice.
La scoperta di Coruna è avvenuta grazie a una versione debug, che ha rivelato tutti gli exploit e i codename in chiaro. Il framework JavaScript è ingegnerizzato alla perfezione, con tecniche non pubbliche per fingerprinting del dispositivo, esecuzione remota via WebKit e bypass di protezioni.
Proteggiti ora: usa VPN su reti pubbliche, verifica URL sospetti, abilita autenticazione a due fattori e monitora app installate. Per un’analisi più profonda, continua con la sezione tecnica.
Approfondimento tecnico
Catene di exploit e vulnerabilità
Coruna integra exploit per WebKit RCE, confusione di tipi nel kernel e bypass PAC (Pointer Authentication Code). Ecco una panoramica:
| Vulnerabilità | Codename | Severità | Target |
|---|---|---|---|
| CVE-2024-23222 | Cassowary | 8.8 | WebKit |
| CVE-2020-27932 | Neutron | 7.8 | Kernel |
| CVE-2023-32434 | Photon | 7.8 | Kernel profondo |
| CVE-2023-38606 | Gallium | 5.5 | Hardware bypass |
Queste catene iniziano con fingerprinting: il JS raccoglie dati su modello iPhone e versione iOS, selezionando l’exploit adatto. Esempio di offuscamento JS:
i.p1=(1111970405 ^ 1111966034);
Usato per codificare stringhe e interi, rendendo l’analisi difficile.
Framework e payload
Il framework carica exploit modulari: RCE WebKit → bypass PAC → escalation privilegi → payload finale. In campagne cinesi, il payload exfiltrava wallet crypto, scansionando immagini per QR e keyword sensibili.
GTIG ha raccolto centinaia di campioni, confermando efficacia su iPhone da iOS 13 a 17.2.1. Tecniche avanzate includono mitigazioni bypass non documentate, connesse tramite utility comuni.
Mercato nero e implicazioni
La proliferazione da sorveglianza commerciale → spionaggio statale → crimine finanziario suggerisce leak o vendite intenzionali. Colpiti almeno 42.000 dispositivi, un numero enorme per iOS. Attacchi “watering hole” su siti compromessi amplificano il rischio.
Per esperti: Analizza IOC dal report GTIG per hunting. Patch Apple hanno fixato tutto; testa con tool come iVerify per residui. Il passaggio a exploit di massa segna un’era nuova per la sicurezza mobile.
Questo kit evidenzia la rapidità con cui armi elite finiscono in mani sbagliate. Aggiornamenti costanti e awareness sono cruciali per utenti e professionisti.
