Coruna: il kit di exploit per iPhone finisce nelle mani dei cybercriminali

L’exploit kit Coruna, una volta strumento nelle mani delle forze dell’ordine, oggi è diventato una minaccia per i comuni utenti.

Secondo un’analisi condotta dal team GTIG di Google, questo tool usato per ottenere dati da dispositivi iPhone da parte delle agenzie governative USA, ora è finito nelle mani dei cybercriminali.

Nello specifico si parla di gruppi come UNC6353 e UNC6691, collegati a Russia e Cina. Il risultato è un’arma informatica in grado di mettere a rischio milioni di utenti, sollevando interrogativi profondi sulla gestione dei tool offensivi da parte degli enti statali e sulle ripercussioni di una loro diffusione nel mercato nero.

Il funzionamento del Coruna si basa su tecniche avanzate di watering hole, una metodologia che non richiede alcuna azione da parte dell’utente se non la semplice visita a un sito web compromesso. L’analisi condotta da iVerify, società specializzata in sicurezza mobile, attraverso un approfondito reverse engineering, ha messo in luce inquietanti analogie tecniche con tool precedentemente attribuiti a entità governative americane.

Basta una singola pagina malevola per scatenare una catena di compromissione totale del dispositivo: dal furto di dati sensibili, all’esecuzione di codice remoto, fino all’attivazione di fotocamera e microfono e all’installazione di spyware persistente. La portata di questi attacchi è tale da non lasciare scampo a chiunque utilizzi dispositivi Apple non aggiornati.

Dal controllo statale al mercato nero: la traiettoria degli exploit

La storia di questoexploit kit segue un copione già visto. Inizialmente rilevato in ambienti di sorveglianza legati a spyware commerciali, il kit è stato poi acquisito da UNC6353, gruppo sospettato di agire per conto dei servizi segreti russi, che lo ha impiegato in vaste campagne contro obiettivi ucraini.

Successivamente, lo stesso strumento è riemerso nelle mani di UNC6691, organizzazione criminale con base, secondo gli analisti, in Cina. Questo passaggio di mano dimostra l’esistenza di un vero e proprio mercato di seconda mano per exploit avanzati, dove strumenti originariamente pensati per la sicurezza nazionale diventano armi nelle mani di cybercriminali senza scrupoli.

La lezione del passato sembra non essere stata appresa. Nel 2017, l’exploit EternalBlue, attribuito all’NSA, venne sottratto e utilizzato nell’attacco globale WannaCry, con conseguenze devastanti che si sono protratte per anni. Oggi, la vicenda si ripete con Coruna: una volta che questi strumenti escono dal controllo degli enti governativi, diventano facilmente accessibili a chiunque abbia risorse e motivazioni per acquistarli. Così, cittadini e organizzazioni si ritrovano esposti a minacce sempre più sofisticate e difficili da contenere.

Difendersi subito: le contromisure essenziali

Di fronte a una minaccia di questa portata, la prima raccomandazione è quella di aggiornare immediatamente il proprio iPhone all’ultima versione di iOS disponibile.

Per chi possiede dispositivi non più supportati, Apple consiglia di attivare la Lockdown Mode, una funzione che limita drasticamente le superfici di attacco disabilitando funzionalità potenzialmente sfruttabili dagli exploit. È fondamentale inoltre evitare link sospetti, mantenere tutte le applicazioni costantemente aggiornate e valutare l’adozione di soluzioni di sicurezza dedicate, come suggerito dagli esperti di iVerify.