Ricercatori della sicurezza segnalano che un potente framework di hacking per iPhone, un tempo collegato a operazioni di sorveglianza, è ora utilizzato in campagne criminali per rubare criptovalute e dati sensibili degli utenti.

Questo kit di exploit, noto come Coruna, contiene più catene di exploit che possono compromettere i iPhone vulnerabili attraverso siti web malevoli.

I Hacker Prendono di Mira WebKit e Versioni iOS Obsolete

Secondo le analisi condotte dal Google Threat Intelligence Group e dalla società di sicurezza mobile iVerify, il framework include:

  • Cinque catene di exploit complete
  • 23 vulnerabilità di sicurezza iOS note
  • Tecniche che eludono molte protezioni di sicurezza di Apple

Gli attacchi prendono di mira WebKit, utilizzato da tutti i browser iOS. Questo significa che visitare una pagina web malevola potrebbe compromettere i dispositivi che eseguono versioni obsolete di iOS.

Una volta attivata, la catena di exploit aumenta i privilegi di accesso dal browser al livello del kernel, consentendo agli aggressori di caricare malware con permessi di root.

Da Strumento di Sorveglianza a Arma Criminale

I ricercatori hanno rilevato i componenti del framework per la prima volta all'inizio del 2025, durante un'operazione di sorveglianza collegata a un fornitore di spyware.

Più avanti nello stesso anno, l'exploit è riemerso in una sospetta campagna di intelligence russa che prendeva di mira siti web ucraini. Il codice malevolo era nascosto all'interno di un widget di conteggio visitatori che infettava silenziosamente gli utenti di iPhone selezionati.

Recentemente, il framework è stato riutilizzato in operazioni criminali che prendevano di mira siti di criptovalute e gioco d'azzardo di lingua cinese.

Oltre 40.000 Dispositivi Potenzialmente Infettati da Coruna

La società di sicurezza iVerify stima che una singola campagna focalizzata sulle criptovalute abbia infettato circa 42.000 dispositivi; questa stima si basa sulle connessioni ai server di comando e controllo utilizzati dagli aggressori.

Quando un dispositivo viene compromesso, gli hacker possono cercare portafogli di criptovalute, rubare credenziali di accesso agli exchange e estrarre dati da foto e email.

I ricercatori affermano che il framework exploit è estremamente sofisticato, mentre il malware aggiunto sembra molto più semplice; ciò suggerisce che diversi gruppi stiano riutilizzando la stessa piattaforma di exploit.

Possibili Collegamenti con Campagne di Spyware Precedenti

Si segnala che il codice utilizzato in Coruna sovrappone componenti con una grande campagna di spionaggio per iPhone scoperta nel 2023, nota come Operazione Triangolazione.

Alcuni ricercatori ipotizzano che il framework possa essere stato inizialmente sviluppato per uso governativo o di intelligence, per poi infiltrarsi in un mercato di exploit più ampio.

Gli esperti paragonano la situazione a quella della vulnerabilità EternalBlue, che ha successivamente causato attacchi informatici su larga scala come WannaCry.

Come gli Exploit per iPhone di Livello Statale Sono Finiti nelle Mani dei Criminali

I ricercatori sottolineano che l'evento evidenzia un crescente mercato “di seconda mano” per i framework di exploit zero-day.

Strumenti originariamente creati per agenzie di intelligence o forze dell'ordine possono, nel tempo, essere rivenduti nelle mani di intermediari di exploit e talvolta finire nelle mani di governi rivali o gruppi di crimine informatico.

Sebbene Apple abbia corretto le vulnerabilità di sicurezza note utilizzate da Coruna nelle versioni attuali di iOS, gli esperti di sicurezza avvertono che le tecniche dietro al framework potrebbero continuare a evolversi.

Gli utenti che utilizzano versioni obsolete di iOS continuano a rimanere nel rischio più elevato. Per evitare le vulnerabilità, gli utenti devono mantenere i loro dispositivi completamente aggiornati con le ultime patch di sicurezza.