Una campagna di hacking di massa contro gli utenti iPhone in Ucraina e Cina ha utilizzato strumenti probabilmente progettati dall’appaltatore militare statunitense L3Harris, ha appreso TechCrunch. Gli strumenti, destinati alle spie occidentali, sono finiti nelle mani di vari gruppi di hacker, tra cui spie del governo russo e criminali informatici cinesi.
La settimana scorsa, Google ha rivelato di aver scoperto nel corso del 2025 che un sofisticato toolkit di hacking per iPhone period stato utilizzato in una serie di attacchi globali. Il toolkit, soprannominato “Coruna” dal suo sviluppatore originale, period composto da 23 diversi componenti utilizzati per la prima volta “in operazioni altamente mirate” da un cliente governativo senza nome di un “fornitore di servizi di sorveglianza” non specificato. È stato poi utilizzato dalle spie del governo russo contro un numero limitato di ucraini e infine dai criminali informatici cinesi in campagne “su larga scala” con l’obiettivo di rubare denaro e criptovaluta.
I ricercatori della società di sicurezza informatica cellular iVerify, che analizzato in modo indipendente Corunahanno affermato di ritenere che potrebbe essere stato originariamente costruito da una società che lo ha venduto al governo degli Stati Uniti.
Due ex dipendenti dell’appaltatore governativo L3Harris hanno dichiarato a TechCrunch che Coruna è stato, almeno in parte, sviluppato dalla divisione tecnologica di hacking e sorveglianza dell’azienda, Trenchant. I due ex dipendenti erano entrambi a conoscenza degli strumenti di hacking dell’iPhone dell’azienda. Entrambi hanno parlato in condizione di anonimato perché non erano autorizzati a parlare del loro lavoro per l’azienda.
“Coruna period sicuramente il nome interno di un componente”, ha detto un ex dipendente di L3Harris, che aveva familiarità con gli strumenti di hacking dell’iPhone come parte del loro lavoro presso Trenchant.
“Guardando i dettagli tecnici”, ha detto questa persona, riferendosi advert alcune delle show pubblicate da Google, “molti sono familiari”.
Contattaci
Hai ulteriori informazioni su Coruna o altri strumenti di hacking e adware governativi? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram, Keybase e Wire @lorenzofb, o tramite e mail.
L’ex dipendente ha affermato che il toolkit generale di Trenchant conteneva diversi componenti diversi, tra cui Coruna e gli exploit correlati. Un altro ex dipendente ha confermato che alcuni dei dettagli inclusi nel toolkit di hacking pubblicato provenivano da Trenchant.
L3Harris vende gli strumenti di hacking e sorveglianza di Trenchant esclusivamente al governo degli Stati Uniti e ai suoi alleati nella cosiddetta alleanza di intelligence 5 Eyes, che comprende Australia, Canada, Nuova Zelanda e Regno Unito. Dato il numero limitato di clienti di Trenchant, è possibile che Coruna sia stata originariamente acquisita e utilizzata da una di queste agenzie di intelligence governative prima di cadere in mani indesiderate, anche se non è chiaro quanti degli strumenti di hacking pubblicati di Coruna siano stati sviluppati da L3Harris Trenchant.
Un portavoce di L3Harris non ha risposto a una richiesta di commento.
Non è chiaro come Coruna sia passata dalle mani di un appaltatore del governo 5 Eyes a un gruppo di hacker del governo russo, e poi a una banda di criminali informatici cinese.
Ma alcune circostanze sembrano simili al caso di Peter Williams, ex direttore generale di Trenchant. Dal 2022 fino alle sue dimissioni a metà del 2025, Williams ha venduto otto strumenti di hacking aziendali a Operation Zero, una società russa che offre milioni di dollari in cambio di exploit zero-day, ovvero vulnerabilità sconosciute al fornitore interessato.
Williams, un cittadino australiano di 39 anni, è stato condannato a sette anni di prigione il mese scorso, dopo aver ammesso di aver rubato e venduto gli otto strumenti di hacking Trenchant a Operation Zero per 1,3 milioni di dollari.
Il governo degli Stati Uniti ha affermato che Williams, che ha approfittato del “pieno accesso” alle reti di Trenchant, “ha tradito” gli Stati Uniti e i suoi alleati. I pubblici ministeri lo hanno accusato di aver divulgato strumenti che avrebbero potuto consentire a chiunque li avesse utilizzati di “accedere potenzialmente a milioni di laptop e dispositivi in tutto il mondo”, suggerendo che gli strumenti si basassero su vulnerabilità che colpivano software program ampiamente utilizzati come iOS.
L’Operazione Zero, autorizzata dal governo degli Stati Uniti il mese scorso, afferma di collaborare esclusivamente con il governo russo e le aziende locali. Il Ministero del Tesoro americano ha affermato che il dealer russo ha venduto “gli strumenti rubati di Williams advert almeno un utente non autorizzato”.
Ciò spiegherebbe come il gruppo di spionaggio russo, che Google ha identificato solo come UNC6353, abbia acquisito Coruna e lo abbia distribuito su siti net ucraini compromessi in modo da hackerare alcuni utenti iPhone da una geolocalizzazione specifica che hanno involontariamente visitato il sito dannoso.
È possibile che una volta che Operation Zero ha acquisito Coruna e l’ha potenzialmente venduta al governo russo, il dealer abbia poi rivenduto il toolkit a qualcun altro, forse un altro dealer, un altro paese o addirittura direttamente ai criminali informatici. Il Tesoro ha affermato che un membro della banda di ransomware Trickbot ha collaborato con Operation Zero, legando il dealer advert hacker motivati finanziariamente.
A quel punto, Coruna potrebbe essere passata in altre mani fino a raggiungere gli hacker cinesi. Secondo i pubblici ministeri statunitensi, Williams ha riconosciuto il codice che aveva scritto e venduto all’Operazione Zero, successivamente utilizzato da un dealer sudcoreano.
Operazione Triangolazione
I ricercatori di Google hanno scritto martedì che due specifici exploit Coruna e le vulnerabilità sottostanti, chiamati Photon e Gallium dai loro sviluppatori originali, sono stati utilizzati come zero-day nell’operazione Triangulation, una sofisticata campagna di hacking presumibilmente utilizzata contro gli utenti russi di iPhone. L’operazione Triangolazione è stata rivelata per la prima volta da Kaspersky nel 2023.
Rocky Cole, il co-fondatore di iVerify, ha dichiarato a TechCrunch che “la migliore spiegazione basata su ciò che è noto in questo momento” indica che Trenchant e il governo degli Stati Uniti sono gli sviluppatori originali e i clienti di Coruna. Anche se, ha aggiunto Cole, non lo afferma “in modo definitivo”.
Story valutazione, ha affermato, si basa su tre fattori. La cronologia dell’utilizzo di Coruna è in linea con le fughe di notizie di Williams, la struttura dei tre moduli – Plasma, Photon e Gallium – trovati a Coruna presenta forti somiglianze con Triangulation e Coruna ha riutilizzato alcuni degli stessi exploit utilizzati in quell’operazione, ha detto.
Secondo Cole, “persone vicine alla comunità della difesa” sostengono che il plasma sia stato utilizzato nell’operazione Triangolazione, “anche se non ci sono show pubbliche di ciò”. (Cole ha lavorato in precedenza presso la Nationwide Safety Company degli Stati Uniti.)
Secondo Google e iVerify, Coruna è stato progettato per hackerare i modelli di iPhone con iOS 13 fino a 17.2.1, rilasciati tra settembre 2019 e dicembre 2023. Queste date sono in linea con la cronologia di alcune delle fughe di notizie di Williams e con la scoperta dell’Operazione Triangolazione.
Uno degli ex dipendenti di Trenchant ha dichiarato a TechCrunch che quando Triangulation è stato rivelato per la prima volta nel 2023, altri dipendenti dell’azienda credevano che almeno uno degli zero-day catturati da Kaspersky “provenisse da noi e potenzialmente” strappato through “dal” progetto generale che includeva Coruna.
Un’altra mollica di pane che punta a Trenchant: come ha osservato il ricercatore di sicurezza Costin Raiu – è l’uso di nomi di uccelli per alcuni dei 23 strumenti, come Cassowary, Terrorbird, Bluebird, Jacurutu e Sparrow. Nel 2021, Lo ha rivelato il Washington Post quell’Azimut, una delle due startup successivamente acquisito da L3Harris e fusa in Trenchantaveva venduto all’FBI uno strumento di hacking chiamato Condor nel famigerato caso di cracking dell’iPhone di San Bernardino.
Dopo che Kaspersky ha pubblicato la sua ricerca sull’Operazione Triangolazione, il Servizio di sicurezza federale russo (FSB) ha accusato la NSA di aver hackerato “migliaia” di iPhone in Russia, prendendo di mira in particolare i diplomatici. Un portavoce di Kaspersky ha affermato all’epoca che la società non disponeva di informazioni sulle affermazioni dell’FSB. Il portavoce ha notato che gli “indicatori di compromissione” – ovvero show di un hack – identificati dal Centro nazionale di coordinamento russo per gli incidenti informatici (NCCCI) erano gli stessi identificati da Kaspersky.
Boris Larin, ricercatore di sicurezza presso Kaspersky, ha dichiarato in una e-mail a TechCrunch che “nonostante le nostre ricerche approfondite, non siamo in grado di attribuire l’Operazione Triangolazione a nessuno noto [Advanced Persistent Threat] gruppo o sfruttare la società di sviluppo.”
Larin ha spiegato che Google ha collegato Coruna all’Operazione Triangolazione perché entrambi sfruttano le stesse due vulnerabilità: Photon e Gallium.
“L’attribuzione non può basarsi esclusivamente sullo sfruttamento di queste vulnerabilità. Tutti i dettagli di entrambe le vulnerabilità sono disponibili da tempo al pubblico”, e quindi chiunque avrebbe potuto trarne vantaggio, ha affermato, aggiungendo che quelle due vulnerabilità condivise “sono solo la punta dell’iceberg”.
Kaspersky non ha mai accusato pubblicamente il governo degli Stati Uniti di essere dietro l’Operazione Triangolazione. Curiosamente, il brand creato dall’azienda per la campagna è il brand di una mela composto da più triangoli – ricorda il logo L3Harris. Potrebbe non essere una coincidenza. Kaspersky ha precedentemente affermato che non avrebbe attribuito pubblicamente una campagna di hacking, segnalando invece silenziosamente che in realtà sapeva chi c’period dietro o chi ha fornito gli strumenti per realizzarla.
Nel 2014 Kaspersky annunciato di aver catturato un sofisticato e sfuggente gruppo di hacker governativo noto come “Careto” (spagnolo per “The Masks”). La società ha affermato che gli hacker parlavano solo spagnolo. Ma l’illustrazione di una maschera utilizzata dall’azienda nel suo rapporto includeva i colori rosso e giallo della bandiera spagnola, corna di toro, anello al naso e nacchere.
Come rivelato da TechCrunch l’anno scorso, i ricercatori di Kaspersky avevano concluso in privato che “non c’erano dubbi”, come ha affermato uno di loro, che Careto fosse gestita dal governo spagnolo.
Mercoledì, il giornalista di sicurezza informatica Patrick Grey ha detto in un episodio del suo podcast Risky Business che pensava – basandosi su “pezzetti” di cui period sicuro – che ciò che Williams ha fatto trapelare a Operation Zero period il package di hacking utilizzato nella campagna di Triangolazione.
Apple, Google, Kaspersky e Operation Zero non hanno risposto alle richieste di commento.
