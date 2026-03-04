Gli esperti del Google Threat Intelligence Group (GTIG) hanno individuato un potente exploit kit che può essere utilizzato per attacchi contro utenti iOS. Coruna, questo il suo nome, è stato già sfruttato da cybercriminali russi e cinesi. Secondo i ricercatori dell’azienda di Mountain View era stato venduto ad un governo, ma in qualche modo è finito sul mercato di “seconda mano”.

Coruna usato dal governo statunitense?

Coruna è una raccolta di 23 exploit che sfruttano vulnerabilità di iOS dalla versione 13 alla versione 17.2.1, quindi gli obiettivi sono utenti con vecchi iPhone non aggiornabili. Il GTIG ha scoperto le prime tracce a febbraio 2025, quando un cliente di una azienda di sorveglianza ha usato Coruna per sfruttare la vulnerabilità CVE-2024-23222 di WebKit (risolta da Apple con iOS 17.3).

A luglio 2025 è stato invece usato da cybercriminali russi per iniettare codice JavaScript in un sito ucraino sfruttando la vulnerabilità CVE-2023-43000 di Safari. La tecnica è nota come watering hole e consente di installare il malware sull’iPhone quando l’utente visita il sito compromesso.

Lo stesso kit è stato infine usato da cybercriminali cinesi a fine 2025 su falsi siti di scommesse e criptovalute. In questo caso, gli esperti di Google hanno individuato tutti gli exploit. Secondo iVerify, Coruna è stato venduto da un’azienda che sviluppa spyware al governo statunitense. Non è noto come sia finito nelle mani dei cybercriminali.

Lo scopo degli attacchi effettuati con Coruna non è solo raccogliere informazioni sensibili dagli iPhone, ma anche rubare le criptovalute da diversi wallet. Tutte le vulnerabilità sono state risolte da Apple con iOS 26, quindi gli utenti devono installare l’ultima versione del sistema operativo (se possibile).

Quando successo ricorda il caso EternalBlue del 2017. Questo exploit per Windows, sviluppato dalla NSA (che non ha segnalato la vulnerabilità del protocollo SMB a Microsoft), è stato rubato e pubblicato online dal gruppo Shadow Brokers. L’exploit è stato successivamente sfruttato per i famigerati attacchi ransomware WannaCry e NotPetya.