Coruna: l’exploit kit governativo che mette a rischio 42.000 iPhone. Dalle origini statunitensi ai cybercriminali

Coruna: l’exploit kit governativo che mette a rischio 42.000 iPhone. Dalle origini statunitensi ai cybercriminali

Indice

1. Introduzione: il caso Coruna e la sua importanza globale
2. Cos’è l’exploit kit Coruna: caratteristiche tecniche e funzionamento
3. Le 23 vulnerabilità iOS del 2026: un quadro preoccupante
4. Da contractor governativo a tool nelle mani dei cybercriminali
5. Chi c’è dietro Coruna: origini, attori e motivazioni
6. Le indagini di Google Threat Intelligence e iVerify
7. Impatto: iPhone compromessi, rischi per individui e aziende
8. Spyware, cybercrime e nuove strategie di attacco
9. Come difendersi: raccomandazioni per la sicurezza degli utenti iOS
10. Conclusioni e scenari futuri sulla cybersicurezza mobile

---

Introduzione: il caso Coruna e la sua importanza globale

Nel marzo 2026, la scoperta di Coruna, uno dei più sofisticati exploit kit mai realizzati per dispositivi iOS, segna un nuovo punto di svolta nelle cronache della sicurezza informatica. 42.000 iPhone compromessi, 23 vulnerabilità sfruttate e una rete di attacchi che collega contractor governativi, criminali informatici e spie internazionali. L’indagine di Google Threat Intelligence e iVerify ha svelato non solo la portata immediata dell’emergenza, ma anche una serie di riflessioni fondamentali su ciò che oggi significa parlare di cybersicurezza mobile.

L’exploit kit Coruna si inserisce nella lunga lista di strumenti nati in ambienti governativi e poi finiti in mano a soggetti ostili, ridisegnando le strategie di attacco contro i dispositivi più diffusi e sicuri al mondo. Nell’era post-pandemica, in cui la digitalizzazione è un pilastro dell’economia e della società, il caso Coruna mostra come la minaccia possa essere contemporaneamente globale e invisibile.

---

Cos’è l’exploit kit Coruna: caratteristiche tecniche e funzionamento

L’exploit kit Coruna rappresenta una delle tecnologie offensive più avanzate sviluppate negli ultimi anni per violare la sicurezza degli iPhone. Un exploit kit è una raccolta di strumenti automatici progettati per identificare e sfruttare vulnerabilità software. Nel caso di Coruna, la sua potenza deriva dalla capacità di:

• Rilevare in modo selettivo dispositivi vulnerabili tra quelli presenti in una determinata rete o ambiente.
• Sfruttare una catena coordinata di exploit, prendendo il controllo completo del dispositivo bersaglio.
• Espandere l’attacco con strumenti di spionaggio e raccolta dati.

Ciò che differenzia Coruna dagli exploit kit noti in passato sono l’estrema modularità, la velocità di esecuzione e la capacità di adattarsi agli aggiornamenti software dell’ecosistema Apple. L’impiego di 23 diverse vulnerabilità contemporaneamente garantisce una percentuale di successo senza precedenti, rendendolo particolarmente insidioso.

---

Le 23 vulnerabilità iOS del 2026: un quadro preoccupante

Le informazioni divulgate da Google Threat Intelligence e iVerify rivelano l’esistenza di ben 23 vulnerabilità iOS attive che sono state sfruttate da Coruna. Di queste vulnerabilità, molte erano sconosciute prima del 2026 e non ancora pubblicamente documentate. Tra le vulnerabilità più rilevanti:

• Vulnerabilità zero-day nell’engine WebKit: consentono l’esecuzione di codice malevolo all’apertura di pagine web e-mail o messaggi.
• Bypass dei sistemi di sandboxing: permettono all’attaccante di accedere a dati riservati e alla fotocamera.
• Privilege escalation: offrono il pieno controllo del sistema operativo senza richiedere intervento dell’utente.

L’aspetto più critico è che alcune vulnerabilità erano radicate nel codice di base di iOS sin dalle versioni 14, rendendo difficile isolarle e correggerle rapidamente. Gli aggiornamenti pubblicati in seguito hanno corretto solo parte delle falle, lasciando scoperta una fetta significativa di utenti con dispositivi non aggiornati o non più supportati da Apple.

---

Da contractor governativo a tool nelle mani dei cybercriminali

Analizzando le tracce lasciate da Coruna e le informazioni raccolte da fonti autorevoli, emerge che il toolkit è stato originariamente sviluppato da un contractor per il governo statunitense. Situazioni simili sono già avvenute in passato, basti pensare agli exploit della NSA resi pubblici da gruppi come ShadowBrokers o agli strumenti sviluppati dal Mossad o da agenzie di intelligence europee.

La parabola di Coruna si compone di due fasi cruciali:

1. Sviluppo sotto commessa governativa: Un appaltatore specializzato in cyberwarfare ha fornito a entità governative uno strumento evoluto per la penetrazione di dispositivi iOS presumibilmente a fini di sicurezza nazionale e spionaggio.
2. Diffusione fuori controllo: Per ragioni non chiarite, il toolkit è finito nelle mani di gruppi criminali e di intelligence estera, innescando un ciclo di attacchi indiscriminati.

Questi passaggi sottolineano il rischio intrinseco nella privatizzazione della cybersicurezza offensiva: strumenti potentissimi possono essere trafugati, venduti sul dark web o addirittura divulgati per finalità ideologiche o puramente economiche.

---

Chi c’è dietro Coruna: origini, attori e motivazioni

Le origini statunitensi del toolkit Coruna sono di particolare interesse per le implicazioni geopolitiche che generano. I rapporti con i contractor privati specializzati in cyber intelligence, spesso legati a ex funzionari o militari, formano un ecosistema dove pubblico e privato collaborano a stretto contatto, non sempre con adeguati controlli sulla sicurezza delle tecnologie sviluppate.

Ad oggi, le indagini non hanno ancora identificato con precisione le responsabilità dirette, tuttavia sono stati individuati alcuni punti chiave:

• Gruppi di cybercrime east-europei: sfruttano Coruna negli attacchi a banking online e aziende high-tech.
• Agenzie di intelligence straniere: utilizzano il kit per attività di spionaggio politico e industriale.
• Hacker mercenari: affittano l’uso di Coruna sul mercato nero per campagne mirate su commissione.

Le motivazioni variano dalla raccolta di informazioni sensibili al furto d’identità e all’estorsione, dalla manipolazione geopolitica al sabotaggio industriale, come testimoniato dai casi di ransomware collegati a campagne condotte con Coruna.

---

Le indagini di Google Threat Intelligence e iVerify

A rendere pubblica la minaccia di questo cyber-arsenale sono stati gli esperti di Google Threat Intelligence, lavorando in collaborazione con i ricercatori della app di sicurezza iVerify. Il loro report descrive in dettaglio:

• Il funzionamento dei 23 exploit integrati nel toolkit.
• La propagazione tramite link malevoli, file di configurazione e false app di sicurezza distribuite via social network o SMS.
• I principali indicatori di compromissione (Indicators of Compromise, IoC) che permettono di riconoscere un telefono infetto.

Le indagini si sono avvalse di tecniche avanzate come reverse engineering, analisi di traffico cifrato e collaborazione con grandi provider e istituzioni accademiche, propedeutici alla creazione di strumenti per la mitigazione e la prevenzione di nuovi attacchi.

---

Impatto: iPhone compromessi, rischi per individui e aziende

Secondo i dati rilasciati a marzo 2026, 42.000 iPhone sono stati compromessi tramite l’exploit kit Coruna. Il dato aggregato include dispositivi di privati cittadini, professionisti, giornalisti, attivisti e dipendenti di multinazionali. Le conseguenze sono gravi e si articolano su più livelli:

• Perdita di dati personali: accesso alle foto, ai contatti, alle e-mail e alle informazioni bancarie.
• Spionaggio: intercettazione di chiamate, messaggi e attività tramite microfono e fotocamera.
• Furto d’identità e frodi finanziarie: grazie all’accesso agli account social, ai wallet digitali e alle app di home banking.
• Reputazione aziendale e perdita di proprietà intellettuale: soprattutto per aziende high-tech e startup.

Le autorità e i principali fornitori di servizi digitali hanno avviato un processo di notifica agli utenti potenzialmente colpiti, suggerendo l’adozione di misure di sicurezza straordinarie.

---

Spyware, cybercrime e nuove strategie di attacco

L’esistenza di un toolkit come Coruna dimostra come i confini tra spionaggio di stato e cybercrime siano sempre più sfumati. Gli strumenti sviluppati per esigenze di sicurezza nazionale possono rapidamente diventare armi a disposizione della criminalità organizzata e di potenze straniere.

L’emergere di spyware avanzati comporta un ripensamento delle strategie di difesa, sia a livello individuale che statale. I gruppi di cybercrime stanno affinando le proprie tecniche:

• Utilizzo di social engineering per convincere le vittime a scaricare app infette.
• Phishing tramite SMS, e-mail e piattaforme social.
• Attacchi mirati a figure di alto profilo (attivisti, politici, giornalisti) e aziende di interesse strategico.

Lo scenario delineato dalle indagini invita a rafforzare la cooperazione internazionale e il quadro normativo per contrastare la circolazione di strumenti così pericolosi.

---

Come difendersi: raccomandazioni per la sicurezza degli utenti iOS

Per rispondere all’allarme suscitato da Coruna e gestire il rischio di iPhone compromessi, Google Threat Intelligence e iVerify hanno pubblicato alcune linee guida per gli utenti:

1. Aggiornare regolarmente i dispositivi iOS: installare sempre l’ultima versione del sistema operativo.
2. Evitare di scaricare app da fonti non ufficiali: affidarsi solo all’App Store.
3. Attivare l’autenticazione a due fattori su tutti gli account rilevanti.
4. Prestare attenzione a link e allegati sospetti: non aprire messaggi di origine sconosciuta.
5. Monitorare indicatori di compromissione: insoliti consumi di batteria, comportamenti anomali del device.
6. Utilizzare app di sicurezza affidabili come iVerify per le scansioni periodiche del dispositivo.
7. Configurare password complesse e cambiarle spesso.
8. Scollegare i dispositivi da reti Wi-Fi non sicure.
9. Effettuare backup regolari dei dati.
10. Richiedere assistenza immediata in caso di sospetta compromissione.

---

Conclusioni e scenari futuri sulla cybersicurezza mobile

Il caso Coruna richiama l’attenzione sull’importanza di un approccio complesso e multidisciplinare alla cybersicurezza mobile. Quando strumenti nati per le esigenze degli Stati finiscono in mano a criminali e spie rivali, le conseguenze non riguardano solo la privacy individuale, ma la sicurezza dell’intero ecosistema digitale.

Le principali lezioni apprese da questo episodio possono essere così sintetizzate:

• La vulnerabilità è una condizione sistemica: nessun dispositivo, nemmeno quelli ritenuti i più sicuri, può essere considerato immune.
• È necessario investire in trasparenza, aggiornamenti tempestivi e collaborazione internazionale tra enti pubblici, big tech, ricercatori indipendenti e forze dell’ordine.
• L’educazione alla sicurezza digitale diviene uno degli strumenti chiave per ridurre l’impatto di questi attacchi.

Guardando al futuro, sarà fondamentale monitorare lo sviluppo di nuovi exploit kit come Coruna, regolamentare la vendita di tecnologie offensive, rafforzare i controlli sui partner privati dei governi e promuovere una cultura della sicurezza che coinvolga cittadinanza, aziende e istituzioni pubbliche.

In un mondo iperconnesso, la sicurezza non è più un optional, ma una priorità assoluta.