Il Threat Intelligence Group di Google ha pubblicato una ricerca che descrive in dettaglio un sofisticato framework di exploit iOS chiamato Coruna – contenente 23 vulnerabilità distribuite in cinque catene di exploit complete – utilizzato da sospetti operatori di spionaggio russi e da truffatori di criptovalute cinesi nel corso del 2025.
La società di sicurezza mobile iVerify, in un’analisi separata, ha concluso che la base di codice presenta caratteristiche tipiche di strumenti sviluppati dal governo statunitense, definendolo il primo caso noto di probabili capacità iOS di uno Stato-nazione riadattate per un uso criminale di massa.
Tutte le vulnerabilità sfruttate da Coruna sono state corrette nelle versioni attuali di iOS. I dispositivi che eseguono iOS 17.2.1 e precedenti, rilasciati fino a dicembre 2023, rimangono l’intervallo interessato.
Cosa è successo
Google ha tracciato Coruna attraverso tre operatori distinti nel corso del 2025. È apparso per la prima volta a febbraio in una catena di exploit usata da un cliente di un fornitore commerciale di sorveglianza non identificato.
Entro l’estate, l’identico framework JavaScript è comparso come iframe nascosti su siti web ucraini compromessi, che prendevano di mira in modo selettivo gli utenti iPhone in base alla geolocalizzazione – attribuiti a UNC6353, un sospetto gruppo di spionaggio russo. Alla fine del 2025, l’intero toolkit era stato distribuito su centinaia di falsi siti web in lingua cinese dedicati a criptovalute e gioco d’azzardo, compromettendo circa 42.000 dispositivi in una singola campagna.
Il kit opera come un attacco drive‑by: non è richiesto alcun clic. Quando un bersaglio visita un sito compromesso, si attiva silenziosamente del codice JavaScript che effettua il fingerprinting del dispositivo e consegna una catena di exploit su misura. Il payload adattato per il crimine cerca frasi seed BIP39, raccoglie i dati di MetaMask e Trust Wallet ed esfiltra le credenziali verso server di comando e controllo.
Leggi anche: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Perché è importante
Il cofondatore di iVerify, Rocky Cole – ex analista della NSA – ha dichiarato che la base di codice di Coruna è «superba» e condivide impronte ingegneristiche con moduli in passato collegati pubblicamente a programmi del governo statunitense, inclusi componenti di Operation Triangulation, una campagna iOS del 2023 che la Russia ha ufficialmente attribuito alla NSA. Washington non ha mai commentato tale accusa.
Cole ha descritto la situazione come un possibile «momento EternalBlue» – in riferimento all’exploit per Windows sviluppato dalla NSA, rubato nel 2017, che in seguito rese possibili gli attacchi WannaCry e NotPetya.
Google ha segnalato l’esistenza di un attivo «mercato di seconda mano» per framework di exploit zero‑day, sottolineando come la traccia lasciata da Coruna confermi il modo in cui strumenti di livello statale migrano attraverso broker verso infrastrutture criminali senza un chiaro punto di passaggio.
La NSA non ha risposto alle richieste di commento. Apple ha rilasciato patch che coprono tutte le vulnerabilità di Coruna note.
Leggi anche: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act