disclosure e contesto: una collaborazione tra il threat intel team di google e la società di sicurezza mobile iverify ha rivelato l’esistenza di coruna, un kit di sfruttamento iOS di alto livello. si stima che la piattaforma contenga 5 catene di attacco complete e 23 vulnerabilità, interessando un intervallo di versioni che va da ios 13.0 a ios 17.2.1. in seguito a questa pubblicazione, si segnala un allarmante impatto globale con oltre 42.000 dispositivi infettati, classificato come il primo attacco iOS di massa noto.
coruna: descrizione del kit e meccanismo di sfruttamento
il kit coruna integra 5 catene di sfruttamento e 23 vulnerabilità, con copertura dalle versioni ios 13.0 fino a ios 17.2.1. l’attacco impiega una waterhole attack mediante l’inserimento di un iframe nascosto su siti maligni. quando un utente iPhone visita una pagina compromessa, lo strumento rileva modello dispositivo e versione iOS, selezionando la corrispondente catena di sfruttamento per avviare l’exploit.
l’intero processo non richiede l’installazione di applicazioni da parte dell’utente: il codice viene eseguito da remoto e può aggirare le protezioni della memoria e le difese a livello kernel. gli esperti di iverify sottolineano che il toolkit non presenta limiti geografici o legati al dispositivo; qualsiasi utente con una versione ios non aggiornata che naviga su siti compromessi può incorrere nel contagio.
coruna: dall’arsenale governativo al mercato nero
la prima traccia di coruna emerge nel 2025 (febbraio), quando è stata osservata in contesti di clienti governativi. nel 2025 luglio, la kibble UNC6353, gruppo di spionaggio russo, ha introdotto il toolkit in siti di aziende ucraine operanti nelle industrie manifatturiere, retail e commercio elettronico, puntando a utenti locali. nel 2025 dicembre, una gang criminale cinese identificata come UNC6691 ha lanciato una campagna su siti di scommesse e criptovalute, interessando oltre 42.000 dispositivi. iverify definisce l’episodio come la prima campagna di massa nota su ios.
coruna: origini governative e possibili implicazioni
alcuni elementi di indagine suggeriscono una correlazione con attori statunitensi, basati su documentazione in inglese di livello madrelingua, somiglianze del codice con strumenti statunitensi noti e uno stile di sviluppo di comprovata competenza nel settore. gli esperti descrivono l’evento come una situazione critica: una volta che strumenti di origine governativa finiscono nelle mani di attori non statali, emergono rischi imprevedibili e potenziali danni diffusi, paragonandoli all’evento noto della ”eternalblue” e alle ripercussioni globali osservate con il Ransomware WannaCry.
l’analisi di iverify evidenzia che la congiunzione tra strumenti di livello governativo e mercati criminali amplifica la minaccia, richiedendo ulteriori misure di difesa e vigilanza nel panorama della sicurezza informatica.
coruna: misure di protezione e rimedi
apple ha rilasciato fix mirati per le vulnerabilità sfruttate dal kit; le versioni ios più recenti risultano non influenzate dal problema, mentre i dispositivi più vecchi restano esposti finché non verranno aggiornati. iverify ha reso disponibile l’app ivisory basic gratuitamente per permettere agli utenti di controllare se il proprio iPhone sia stato compromesso; l’accesso gratuito è valido fino a maggio 2026. la misura più efficace resta l’aggiornamento immediato a l’ultima versione di ios e l’adozione tempestiva delle patch rilasciate da apple.
per la protezione continua, conviene monitorare fonti ufficiali, applicare le correzioni di sistema e limitare l’esposizione a siti non affidabili durante la navigazione mobile. la gestione proattiva degli aggiornamenti costituisce la difesa primaria contro exploit simili in futuro.
Lascia un commento