Il Threat Intelligence Group di Google ha pubblicato una ricerca che descrive in dettaglio un sofisticato framework di exploit iOS chiamato Coruna – contenente 23 vulnerabilità distribuite su cinque catene di exploit complete – utilizzato da sospetti operatori di spionaggio russi e da truffatori cinesi nel settore delle criptovalute per tutto il 2025.
La società di sicurezza mobile iVerify ha separatamente concluso che la base di codice mostra caratteristiche tipiche degli strumenti sviluppati dal governo degli Stati Uniti, definendolo il primo caso noto di probabili capacità iOS di uno Stato nazione riadattate per un uso criminale di massa.
Tutte le vulnerabilità sfruttate da Coruna sono state corrette nelle versioni attuali di iOS. I dispositivi che eseguono iOS 17.2.1 e versioni precedenti, rilasciate fino a dicembre 2023, restano l’intervallo interessato.
Cosa è successo
Google ha tracciato Coruna attraverso tre operatori distinti nel corso del 2025. È apparso per la prima volta a febbraio in una catena di exploit usata da un cliente di un fornitore commerciale di sorveglianza non nominato.
Entro l’estate, l’identico framework JavaScript è apparso come iframe nascosti su siti web ucraini compromessi, che prendevano di mira in modo selettivo gli utenti iPhone in base alla geolocalizzazione – attribuito a UNC6353, un sospetto gruppo di spionaggio russo. A fine 2025, l’intero toolkit era stato distribuito su centinaia di falsi siti web in lingua cinese dedicati a criptovalute e gioco d’azzardo, compromettendo si stima 42.000 dispositivi in una sola campagna.
Il kit opera come attacco drive‑by: non è richiesto alcun clic. Quando un bersaglio visita un sito compromesso, si attiva in silenzio del JavaScript che effettua il fingerprinting del dispositivo e consegna una catena di exploit su misura. Il payload adattato per i criminali scansiona le frasi seed BIP39, raccoglie i dati di MetaMask e Trust Wallet ed esfiltra le credenziali verso server di comando e controllo.
Leggi anche: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Perché è importante
Il cofondatore di iVerify, Rocky Cole – ex analista della NSA – ha affermato che la base di codice di Coruna è «superba» e condivide impronte ingegneristiche con moduli in precedenza collegati pubblicamente a programmi del governo degli Stati Uniti, inclusi componenti di Operation Triangulation, una campagna iOS del 2023 che la Russia ha ufficialmente attribuito alla NSA. Washington non ha mai commentato tale accusa.
Cole ha descritto la situazione come un potenziale «momento EternalBlue» – in riferimento all’exploit per Windows sviluppato dalla NSA, rubato nel 2017 e successivamente utilizzato negli attacchi WannaCry e NotPetya.
Google ha evidenziato l’esistenza di un attivo «mercato di seconda mano» per framework di exploit zero‑day, sottolineando come la scia di Coruna rafforzi l’idea che gli strumenti di livello statale migrino attraverso broker nelle infrastrutture criminali senza un chiaro punto di passaggio.
La NSA non ha risposto alle richieste di commento. Apple ha rilasciato patch che coprono tutte le vulnerabilità Coruna note.
Leggi dopo: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act