Coruna: cosa sappiamo sul malware che potrebbe colpire gli iPhone

Negli ultimi giorni si è parlato molto di Coruna, un presunto virus per iPhone citato in alcune analisi di sicurezza informatica. In realtà, secondo gli esperti, non si tratta di un virus tradizionale che si diffonde automaticamente tra gli utenti, ma di uno strumento di attacco più complesso chiamato exploit kit.

L’indagine è stata pubblicata dal Google Threat Intelligence Group e analizza una serie di attacchi avvenuti nel 2025 contro dispositivi Apple. Coruna è un malware per iPhone che sfrutta una catena di vulnerabilità per compromettere dispositivi non aggiornati.

Fastweb Mobile Pro

11,95€/mese

Internet 250 GB e Minuti illimitati

Spedizione SIM GRATIS

Spedizione SIM GRATIS

scopri

La scoperta è del 3 marzo 2026, dal blog di Google Cloud, con un'analisi parallela di iVerify. Coruna non si diffonde in modo autonomo: agisce attraverso siti web compromessi e nel 2025 ha colpito bersagli specifici, prima di raggiungere gruppi criminali con obiettivi economici. A preoccupare è la traiettoria: nato come strumento di sorveglianza mirata, si è diffuso fino ad attori con finalità molto diverse.

Cos'è Coruna e come funziona il malware per iPhone

Coruna è un exploit kit, cioè uno strumento che concatena vulnerabilità per superare le difese di un sistema, individuato nell'analisi di attacchi mirati agli iPhone nel 2025. Il kit contiene 23 exploit in 5 catene e colpisce iPhone con iOS dalla versione 13.0 alla 17.2.1, ovvero dispositivi non aggiornati almeno fino a gennaio 2024. Non funziona sulle versioni più recenti.

Quando un utente visita un sito compromesso, un modulo JavaScript nascosto esegue il fingerprinting del dispositivo: raccoglie modello e versione iOS per selezionare la catena adatta. Il kit avvia poi il codice da remoto sfruttando una vulnerabilità di WebKit, il motore alla base di Safari, e supera le protezioni con un bypass del Pointer Authentication Code (PAC). Il tutto avviene senza che l'utente faccia nulla oltre ad aprire la pagina. Coruna si interrompe se il dispositivo è in Lockdown Mode o Safari è in navigazione privata.

La timeline mostra tre fasi: a febbraio 2025 operazioni mirate da un cliente di un vendor di sorveglianza; a luglio 2025 attacchi watering hole contro siti ucraini, attribuiti al gruppo russo UNC6353; a dicembre 2025 siti finti crypto e finanza, per sottrarre fondi dai wallet delle vittime.

Chi è davvero a rischio e cosa devono sapere gli utenti

Coruna non è un malware di massa. I bersagli più esposti restano giornalisti, attivisti, professionisti con accesso a dati sensibili e utenti crypto. Per proteggere lo smartphone la misura principale è aggiornare iOS: Coruna non funziona su versioni successive alla 17.2.1, disponibile da dicembre 2023.

La vicenda ha però implicazioni più ampie. iVerify ha osservato che l'ultima campagna, cioè quella sui siti finti crypto, non applicava criteri di selezione: chiunque avesse visitato quelle pagine con un iPhone vulnerabile avrebbe potuto essere colpito. È la prima volta che un kit di questo livello viene usato su scala più larga contro un pubblico generico.

Rocky Cole di iVerify ha parlato di un potenziale momento EternalBlue, riferimento all'exploit NSA sfuggito nel 2017. L'ipotesi, non confermata, è che Coruna abbia origini legate a framework governativi americani.

La CISA ha aggiunto tre CVE correlati il 5 marzo 2026, con scadenza patch al 26 marzo per le agenzie federali. Per chi usa un iPhone aggiornato il rischio è minimo. La raccomandazione è aggiornare iOS all'ultima versione e, per profili a rischio elevato, attivare il Lockdown Mode.

Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web

A cura di Cultur-e