Lunedi 06 Luglio 2026 13:37:22 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

“Coruna” smascherato: dentro il kit globale di exploit iOS che alimenta spionaggio e furti crypto

Pubblicato: 05 Marzo 2026 06:01Categoria: Cyber Warfare & Nation-State OperationsArea: EuropeAutore: AGONY

Sottotitolo: Un sofisticato kit di exploit iOS, un tempo brandito da hacker legati a Stati, ora alimenta attacchi di massa in tutto il mondo-ecco cosa devi sapere.

Quando l’anno scorso gli utenti iPhone ucraini sono caduti vittima di un’ondata di cyberattacchi silenziosi, in pochi avrebbero potuto prevedere che lo stesso arsenale avrebbe presto preso di mira appassionati di criptovalute e utenti comuni in tutto il mondo. Gli investigatori hanno ora portato alla luce “Coruna”, un potente kit di exploit progettato per violare dispositivi iOS, passato dallo spionaggio clandestino al cybercrimine su larga scala.

Fatti rapidi

  • Coruna è un kit di exploit iOS che contiene 23 exploit distinti distribuiti su cinque principali catene di attacco.
  • Inizialmente usato da attori statali russi contro obiettivi ucraini, Coruna è stato poi adottato da gruppi criminali cinesi mossi da motivazioni finanziarie.
  • Il kit sfrutta tecniche di sfruttamento avanzate e non pubbliche e può aggirare diverse mitigazioni di sicurezza di iOS.
  • Gli attacchi si sono spostati dallo spionaggio al furto su larga scala, prendendo di mira soprattutto i wallet di criptovalute tramite siti falsi.
  • I dispositivi con iOS 17.3 o versioni successive sono protetti; quelli più vecchi restano vulnerabili a meno che non sia attivata la Modalità isolamento.

L’ascesa e la diffusione di Coruna

La storia di Coruna inizia nell’ombra dei conflitti internazionali. Il Threat Intelligence Group (GTIG) di Google si è imbattuto per la prima volta in frammenti del kit di exploit nel febbraio 2025, risalendo alle sue origini in un gruppo sponsorizzato dallo Stato russo noto per colpire utenti ucraini tramite attacchi “watering hole”-infettando le vittime quando visitavano siti web compromessi. Più o meno nello stesso periodo, iVerify, una società di sicurezza indipendente, ha individuato il kit in circolazione, conducendo una propria analisi tecnica approfondita.

Entrambi i team hanno scoperto un arsenale impressionante: 23 exploit raggruppati in cinque catene di attacco complete, ciascuna in grado di dirottare iPhone con versioni di iOS dalla 13 alla 17.2.1. La sofisticazione di Coruna risiede nell’uso di vulnerabilità finora sconosciute (zero-day) e in ingegnosi aggiramenti delle difese integrate di Apple. Per la prima volta, affermano i ricercatori, lo sfruttamento di massa dei dispositivi iOS sta avvenendo alla luce del sole-una minaccia non più confinata al mondo delle spie.

Ma mentre il kit cambiava mano, cambiava anche la sua missione. Entro la fine del 2025, Coruna è stato avvistato su falsi siti cinesi di exchange di criptovalute, come la piattaforma fasulla “WEEX”, che adescava utenti iPhone con promesse di guadagni finanziari. Il vero bottino: l’accesso ai wallet digitali. L’attacco si svolge in pochi secondi-visita il sito con un dispositivo iOS e un kit di exploit nascosto viene recapitato tramite un web frame furtivo. Dietro le quinte, gli aggressori possono eseguire codice arbitrario ed elevare i privilegi, prendendo il controllo del dispositivo e dei suoi dati sensibili.

I ricercatori hanno individuato nomi in codice interni e versioni di debug di Coruna, confermandone identità e scopo. Avvertono che, sebbene Apple abbia nel frattempo corretto le vulnerabilità sfruttate (con iOS 17.3 e versioni successive), milioni di dispositivi nel mondo restano a rischio-soprattutto quelli che non possono aggiornarsi o che non sono in Modalità isolamento. In modo significativo, il codice di Coruna è progettato per interrompersi se rileva la Modalità isolamento o la navigazione privata, evidenziando l’efficacia di queste difese.

Cosa succede adesso?

Gli esperti di sicurezza di GTIG e iVerify stanno proseguendo le indagini, promettendo ulteriori rivelazioni. Per ora, la lezione è chiara: mantieni i dispositivi aggiornati, abilita la Modalità isolamento se possibile e diffida dei siti crypto sospetti. L’era dello sfruttamento di massa di iOS è arrivata-e Coruna è solo l’inizio.

WIKICROOK

  • Exploit Kit: Un exploit kit è un software che analizza i dispositivi alla ricerca di vulnerabilità e consegna automaticamente malware se viene trovata una debolezza, consentendo cyberattacchi efficienti.
  • Watering Hole Attack: Un Watering Hole Attack si verifica quando gli hacker infettano siti web fidati per colpire utenti specifici, diffondendo malware ai visitatori a loro insaputa.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola altamente preziosa e pericolosa per gli attaccanti.
  • Privilege Escalation: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un account utente normale ai privilegi di amministratore su un sistema o una rete.
  • Lockdown Mode: La Modalità isolamento è una funzione di sicurezza Apple che limita le funzionalità del dispositivo per proteggere gli utenti da cyberattacchi avanzati e spyware mirati.