Coruna: il nuovo exploit kit che prende di mira iPhone e iPad

Un nuovo exploit kit capace di colpire iPhone e iPad sfruttando catene di vulnerabilità presenti in iOS.

Negli ultimi anni gli attacchi contro i dispositivi mobili hanno assunto un ruolo centrale nelle operazioni di cyber-spionaggio e nelle campagne di criminalità informatica. Gli smartphone non sono più semplici strumenti di comunicazione, poiché custodiscono credenziali, conversazioni riservate, accessi aziendali e dati finanziari. Per questo motivo diventano bersagli sempre più appetibili per attori criminali e gruppi statali.

Che cos’è Coruna
Come funziona l’exploit kit Coruna
I rischi per gli utenti iPhone e iPad
Come proteggersi da Coruna

Nel febbraio 2026 i ricercatori di sicurezza hanno individuato un nuovo strumento progettato proprio per sfruttare vulnerabilità nei dispositivi Apple. Il suo nome è Coruna, un exploit kit sviluppato per colpire iPhone e iPad attraverso una catena di vulnerabilità presenti nel sistema operativo iOS. Chi lo sfrutta è in grado di compromettere il sistema operativo e prendere il controllo incondizionato del dispositivo bersaglio.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Che cos’è Coruna

Come anticipato in fase di introduzione, Coruna è uno tra i più efficaci e sofisticati exploit kit messi a punto. Il nome non è frutto della scelta dei ricercatori, ma è emerso direttamente nel codice interno del toolkit. Il Google Threat Intelligence Group lo ha ricostruito dopo aver recuperato, alla fine del 2025, una versione di debug lasciata esposta insieme agli exploit in chiaro. Nel rapporto pubblicato il 3 marzo 2026, Google descrive Coruna come un framework composto da 23 exploit distribuiti in cinque catene complete, compatibili con iPhone su iOS 13.0 fino a iOS 17.2.1.

Le sue prime tracce risalgono al febbraio 2025, quando Google ha intercettato una parte della catena presso un cliente di un fornitore di sorveglianza commerciale. Nell’estate 2025 lo stesso framework è comparso su siti ucraini compromessi usati da UNC6353, gruppo che GTIG collega a operazioni di spionaggio russe; più avanti, a fine 2025, la versione completa è stata trovata su una rete di falsi siti finanziari e crypto gestiti da UNC6691, attore criminale che Google colloca in Cina.

iVerify, che ha pubblicato un’analisi indipendente sempre il 3 marzo 2026, lo definisce il primo caso osservato pubblicamente di sfruttamento su larga scala di un kit iOS di questo livello.

Come funziona l’exploit Coruna

L’entry point di Coruna cambia a seconda della campagna messa in atto, ma la logica resta inalterata. Nelle operazioni osservate da Google, Coruna veniva servito tramite iFrame nascosti caricati da siti compromessi o da falsi portali finanziari. iVerify ha rilevato una catena analoga su un dominio usato come pagina di consegna degli exploit. Una volta aperta la pagina, il loader raccoglie dati sul dispositivo, verifica modello, versione di iOS e contesto di navigazione, poi seleziona la catena corretta. Se rileva Lockdown Mode o la navigazione privata, interrompe l’esecuzione.

Da qui parte la concatenazione di exploit vera e propria. Google ha documentato un caso in cui il framework distribuiva CVE-2024-23222, vulnerabilità di WebKit corretta da Apple il 22 gennaio 2024 con iOS 17.3. Dopo l’esecuzione del codice nel browser, il kit richiama il bypass PAC e gli stadi successivi della catena. I payload arrivano come file con estensione .min.js, ma in realtà sono blob cifrati con ChaCha20 e impacchettati in un formato proprietario.

L’analisi pubblicata da iVerify mostra anche la fase successiva. In una delle catene osservate, analytics.html agisce da loader, poi entrano in gioco il trigger WebKit, il bypass PAC, l’elevazione locale dei privilegi e due stadi eseguiti nei processi powerd e locationd. Da quel punto il framework carica moduli aggiuntivi per componenti di sistema e applicazioni come imagent, SpringBoard e WhatsApp. Nelle campagne crypto, GTIG ha inoltre trovato moduli dedicati a wallet come MetaMask, Exodus, Trust e Uniswap.

I rischi per gli utenti iPhone e iPad

Il rischio principale riguarda la modalità con cui Coruna viene distribuito. Le indagini pubblicate il 3 marzo 2026 dal Google Threat Intelligence Group indicano che l’exploit kit veniva caricato tramite iframe nascosti inseriti in siti web compromessi o in falsi portali finanziari. In queste condizioni non è necessario installare nulla: basta visitare la pagina con una versione vulnerabile di iOS perché il dispositivo venga esposto alla catena di exploit.

Una volta eseguita la catena completa, l’attaccante può accedere a diverse componenti del sistema. L’analisi tecnica condotta da iVerify ha mostrato che alcune varianti del toolkit caricavano moduli in processi di sistema come imagent, SpringBoard e applicazioni di messaggistica. In laboratorio sono stati individuati anche moduli progettati per cercare contenuti in Apple Notes, nelle foto e in alcune applicazioni di terze parti.

Un ulteriore problema riguarda la difficoltà di individuare la compromissione. Coruna non installa necessariamente applicazioni visibili all’utente, ma sfrutta processi già presenti nel sistema operativo. I ricercatori di iVerify hanno osservato che alcuni artefatti possono persino comparire nei backup cifrati del dispositivo, rendendo più complessa l’analisi successiva e la completa bonifica del terminale.

Come proteggersi da Coruna

Poiché exploit kit come Coruna sfruttano vulnerabilità del sistema operativo e tecniche avanzate di exploit chaining, la difesa deve concentrarsi su alcune misure operative che riducono la superficie di attacco dei dispositivi mobili.

Aggiornare tempestivamente i dispositivi iOS.
Installare gli aggiornamenti di sicurezza non appena disponibili riduce drasticamente la possibilità che una catena di exploit riesca ad avere successo.
Attivare la Lockdown Mode in caso di eccessiva esposizione.
Questa modalità limita diverse funzioni del sistema, in particolare quelle legate ai contenuti web complessi, riducendo alcune superfici di attacco sfruttate dagli exploit kit.
Prestare attenzione ai siti web visitati.
Visitare piattaforme non verificate può esporre il dispositivo alla catena di exploit senza che l’utente debba installare alcun software.
Evitare di utilizzare dispositivi iOS non aggiornati per attività sensibili.
Utilizzare dispositivi obsoleti per accedere a servizi finanziari, wallet o account aziendali aumenta il rischio di compromissione.
Monitorare eventuali comportamenti anomali del dispositivo.
Riavvii inattesi, consumo anomalo della batteria o traffico di rete insolito possono indicare attività sospette. In presenza di questi segnali è opportuno effettuare controlli approfonditi ed evitare il ripristino automatico da backup non verificati.

In conclusione

Coruna dimostra che anche l’ecosistema iOS, tradizionalmente percepito come più sicuro rispetto ad altre piattaforme mobili, è bersaglio di strumenti offensivi estremamente sofisticati. L’utilizzo di catene di exploit, capaci di sfruttare più vulnerabilità in sequenza, consente agli attaccanti di aggirare diverse protezioni del sistema operativo e ottenere accesso al dispositivo senza installare applicazioni visibili all’utente.

Allo stesso tempo, l’indagine del Google Threat Intelligence Group evidenzia che strumenti sviluppati inizialmente per operazioni di sorveglianza, possono diffondersi molto rapidamente . Questo passaggio da operazioni mirate a utilizzi più estesi rappresenta uno dei fattori che rende exploit kit come Coruna particolarmente preoccupanti.

La sicurezza non dipende soltanto dall’architettura del sistema operativo, ma anche dalla rapidità con cui vengono applicati gli aggiornamenti e dalle abitudini di utilizzo del dispositivo. Ignorare questi aspetti significa esporsi a minacce ormai in grado di colpire anche le piattaforme considerate più solide.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.