Google rileva che Apple ha corretto le vulnerabilità utilizzate da Coruna nelle ultime versioni del suo sistema operativo cellular, iOS 26, quindi è stato confermato che le sue tecniche di sfruttamento funzionano solo con iOS da 13 a 17.2.1. Prende di mira le vulnerabilità nel framework Webkit di Apple per i browser, quindi gli utenti Safari su quelle versioni precedenti di iOS sarebbero vulnerabili, ma non ci sono tecniche confermate nel toolkit per prendere di mira gli utenti Chrome. Google rileva inoltre che Coruna controlla se su un dispositivo iOS è abilitata l’impostazione di sicurezza più rigorosa di Apple, nota come modalità di blocco, e in tal caso non tenta di hackerarla.
Nonostante queste limitazioni, iVerify afferma che Coruna probabilmente ha infettato decine di migliaia di telefoni. L’azienda si è consultata con un associate che ha accesso al traffico di rete e ha contato le visite a un server di comando e controllo per la versione criminale informatica di Coruna che infetta i siti internet in lingua cinese. Il quantity di queste connessioni suggerisce, afferma iVerify, che circa 42.000 dispositivi potrebbero essere già stati violati con il toolkit nella sola campagna a scopo di lucro.
Non è chiaro quante altre vittime Coruna possa aver colpito, compresi gli ucraini che hanno visitato siti Internet infettati dal codice dalla sospetta operazione di spionaggio russa. Google ha rifiutato di commentare oltre il rapporto pubblicato. Apple non ha immediatamente fornito commenti sui risultati di Google o iVerify.
Un autore unico e molto professionale
Nell’analisi di iVerify della versione criminale informatica di Coruna (non aveva accesso a nessuna delle versioni precedenti) la società ha scoperto che il codice sembrava essere stato alterato per installare malware sui dispositivi di destinazione progettati per drenare criptovaluta dai portafogli crittografici e rubare foto e, in alcuni casi, e-mail. Tali aggiunte, tuttavia, erano “scritte male” rispetto al toolkit Coruna sottostante, secondo Spencer Parker, Chief Product Officer di iVerify, che ha trovato straordinariamente raffinato e modulare.
“Mio Dio, queste cose sono scritte in modo molto professionale”, cube Parker degli exploit inclusi in Coruna, suggerendo che il malware più rozzo sia stato aggiunto dai criminali informatici che in seguito hanno ottenuto quel codice.
Per quanto riguarda i moduli di codice che suggeriscono le origini di Coruna come toolkit del governo statunitense, Cole di iVerify nota una spiegazione alternativa: è possibile che il codice di Coruna si sovrapponga al malware Operation Triangulation che la Russia ha attribuito agli hacker statunitensi e potrebbe essere basato sul fatto che i componenti di Triangulation vengono raccolti e riutilizzati dopo essere stati scoperti. Ma Cole sostiene che è improbabile. Molti componenti di Coruna non sono mai stati visti prima, sottolinea, e l’intero toolkit sembra essere stato creato da un “unico autore”, come cube lui.
“Il quadro regge molto bene”, cube Cole, che in precedenza ha lavorato presso la NSA, ma sottolinea che è fuori dal governo da più di un decennio e non basa alcuna scoperta sulla sua conoscenza obsoleta degli strumenti di hacking statunitensi. “Sembra che sia stato scritto nel suo insieme. Non sembra che sia stato messo insieme.”
Se Coruna è, in effetti, un package di strumenti di hacking statunitense diventato canaglia, come sia finito in mani straniere e criminali rimane un mistero. Ma Cole fa riferimento al settore dei dealer che potrebbe pagare decine di milioni di dollari per tecniche di hacking zero-day da rivendere per spionaggio, criminalità informatica o guerra informatica. In particolare, Peter Williams, un dirigente dell’appaltatore del governo statunitense Trenchant, è stato condannato questo mese a sette anni di carcere per vendere strumenti di hacking al broker zero-day russo Operation Zero dal 2022 al 2025. La nota di condanna di Williams rileva che Trenchant ha venduto strumenti di hacking alla comunità dell’intelligence statunitense e advert altri membri del gruppo “5 Eyes” di governi anglofoni – Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda – anche se non è chiaro quali strumenti specifici abbia venduto o quali dispositivi abbiano preso di mira.
“Questi dealer zero-day ed exploit tendono advert essere senza scrupoli”, afferma Cole. “Vendono al miglior offerente e fanno double dip. Molti non hanno accordi di esclusiva. È molto probabile che sia quello che è successo qui.”
“Uno di questi strumenti è finito nelle mani di un dealer di exploit non occidentale, che lo ha venduto a chiunque fosse disposto a pagare”, conclude Cole. “Il genio è uscito dalla bottiglia.”
