Coruna: il malware iPhone che rivela il mercato exploit

Coruna, il “virus” che mostra come gli iPhone siano entrati nel mercato nero degli exploit

Lo chiamano “virus”, ma la parola rischia di far perdere di vista il punto. Coruna non è il classico malware da immaginario anni Duemila, quello che infetta il dispositivo e lo manda in tilt. È molto peggio: è un exploit kit avanzato, una cassetta degli attrezzi costruita per aprire gli iPhone e consegnare dati, accessi e controllo a chi paga. Google Threat Intelligence Group lo ha descritto come un kit capace di colpire modelli Apple con versioni di iOS dalla 13.0 alla 17.2.1, usando cinque catene complete di exploit e un totale di 23 exploit distinti. Non un giocattolo da scantinato, ma un prodotto industriale.

Ed è qui che la faccenda diventa interessante nel senso peggiore del termine. Per anni gli exploit iPhone sono stati raccontati come armi rare, roba da intelligence, da operazioni chirurgiche, da bersagli scelti col bilancino. Coruna racconta un’altra storia: quella di un mercato che si allarga, si sporca e si commercializza. Secondo Google, il kit è stato usato da un gruppo legato alla Russia e da un gruppo criminale cinese in campagne diverse. Cioè: lo stesso strumento passa da ambienti di spionaggio a operazioni di furto più terra-terra. Quando una tecnologia di intrusione cambia mani così facilmente, il problema non è più l’attacco singolo. È la filiera.

Secondo quanto ricostruito da TechCrunch, dietro Coruna potrebbe esserci Trenchant, una sussidiaria di L3Harris specializzata in strumenti di hacking. Il sospetto nasce da collegamenti tecnici e da testimonianze raccolte da ex dipendenti. Lo stesso filone si intreccia con il caso di Peter Williams, ex dipendente che ha ammesso di aver venduto strumenti dell’azienda a Operation Zero, broker russo poi sanzionato dagli Stati Uniti. Non è ancora la sentenza definitiva sull’origine di Coruna, ma il quadro è già abbastanza eloquente: strumenti nati in circuiti “istituzionali” possono finire sul mercato parallelo con una rapidità impressionante.

Il dato più istruttivo, però, non è neppure tecnico. È politico. Coruna dimostra che la sicurezza digitale oggi dipende meno dal dispositivo che compri e più dalla velocità con cui aggiorni, dalla trasparenza dei vendor e dall’esistenza di un ecosistema sotterraneo che rivende vulnerabilità come fossero derivati finanziari. Apple ha distribuito aggiornamenti di sicurezza anche per dispositivi meno recenti proprio per chiudere falle sfruttate in queste campagne. Segno che la minaccia era reale, concreta, attiva. E che il recinto della “sicurezza Apple” non è più il santino pubblicitario di una volta.

La vera notizia, allora, non è soltanto che esiste Coruna. La vera notizia è che gli exploit per iPhone stanno uscendo dal tempio e entrando nel supermercato. Con una differenza: nel supermercato non compri solo merci, compri anche il diritto di violare il telefono altrui. Ed è un passaggio che riguarda tutti, non soltanto dissidenti, giornalisti o oppositori politici. Perché quando lo strumento esce dal recinto dello spionaggio e viene riusato per rubare dati e criptovalute, il bersaglio smette di essere “sensibile”. Diventa semplicemente disponibile.

Questo spiega perché il caso Coruna vada letto insieme ad altri segnali della stessa stagione, come la fragilità dell’identità digitale, il potere invisibile delle infrastrutture software e la logica opaca con cui i sistemi digitali agiscono senza mostrarsi davvero. Coruna appartiene allo stesso paesaggio: un ecosistema in cui il controllo non passa sempre dalla forza bruta, ma dalla capacità di sfruttare ciò che usiamo ogni giorno con fiducia automatica.

Dal punto di vista pratico, il messaggio è brutale ma semplice: aggiornare iPhone e iPad non è manutenzione noiosa, è autodifesa minima. Apple ha pubblicato gli aggiornamenti di sicurezza ufficiali, mentre Google ha diffuso la propria analisi tecnica su Coruna. Chi vuole capire il contesto più ampio può leggere anche la ricostruzione di TechCrunch sul possibile legame con il mercato degli exploit brokerati.

Coruna non racconta soltanto un nuovo attacco agli iPhone. Racconta la nascita di un mercato dove le falle digitali vengono prodotte, impacchettate e rivendute come servizi. E quando una vulnerabilità diventa un business, la sicurezza smette di essere una promessa. Diventa una corsa contro chi arriva prima: tu con l’aggiornamento, o loro con l’exploit.