Il Risk Intelligence Group (GTIG) di Google ha un nuovo rapporto ha parlato di un potente equipment di exploit iOS chiamato “Coruna”, che è passato dal cliente di un fornitore di servizi di sorveglianza a un gruppo di spionaggio russo fino ai criminali informatici cinesi, rivelando nel processo una sofisticata “catena di fornitura” di exploit.
Descritto come uno dei toolkit di exploit iOS più completi documentati pubblicamente, Coruna prende di mira gli iPhone con iOS 13.0 fino a iOS 17.2.1, contenente 23 exploit in quattro anni di versioni iOS.
Secondo GTIG, è stato avvistato per la prima volta nel febbraio 2025, quando è stato utilizzato da un cliente di un fornitore di servizi di sorveglianza commerciale. Nell’property del 2025, lo stesso quadro è apparso negli attacchi Watering Gap (in cui un utente malintenzionato compromette i siti Internet che i suoi obiettivi potrebbero visitare) da parte di un presunto gruppo di spionaggio russo che prende di mira gli utenti ucraini.
Poi, alla fantastic del 2025, un attore con sede in Cina, motivato dal punto di vista finanziario, lo ha implementato in una vasta rete di falsi siti Internet finanziari e crittografici. GTIG ha affermato che non è chiaro come l’exploit equipment sia passato da un attore all’altro, ma suggerisce un mercato attivo per gli exploit zero-day di “seconda mano”.
Per quanto riguarda il equipment, è descritto come estremamente ben progettato. Quando qualcuno visita un sito internet infetto, capisce che tipo di iPhone sta utilizzando e quale versione del software program è in esecuzione, quindi sceglie l’attacco giusto per quello specifico dispositivo. Se l’utente ha attivato la modalità di blocco di Apple, il equipment si salva: non ci prova nemmeno.
Il codice di attacco è codificato con una crittografia avanzata, quindi è difficile da intercettare e analizzare per i ricercatori di sicurezza, ed è confezionato in un formato personalizzato che gli sviluppatori apparentemente hanno inventato loro stessi. Secondo l’analisi di GTIG, il codice embrace anche be aware dettagliate scritte in inglese che spiegano come funziona e utilizza tecniche di attacco mai viste prima pubblicamente.
Il equipment prende di mira i portafogli di criptovaluta e i dati finanziari ed è in grado di collegarsi a 18 various app di crittografia per estrarre le credenziali del portafoglio. Il payload può decodificare i codici QR dalle immagini sul disco e dispone anche di un modulo per analizzare blocchi di testo per cercare sequenze di parole BIP39 o parole chiave molto specifiche come “frase di backup” o “conto bancario”. Esegue anche la scansione di Apple Notes per le tipiche frasi seed.
Chiunque utilizzi ancora iOS 17.2.1 o versioni precedenti è potenzialmente vulnerabile all’exploit equipment, che non funziona con le versioni iOS più recenti, quindi assicurati di aggiornare se puoi. Altrimenti, la conclusione sembra essere che la modalità di blocco di Apple sta facendo il suo lavoro per scongiurare un equipment di exploit così potente, e questa può solo essere una buona notizia per coloro che la abilitano.
