Il kit di exploit iOS Coruna rappresenta un salto di qualita nel panorama della sicurezza mobile, perche combina un framework ben ingegnerizzato con una raccolta ampia di vulnerabilita. Secondo le analisi, Coruna prende di mira iPhone con versioni di iOS dalla 13.0 alla 17.2.1 e include cinque catene complete di exploit per un totale di 23 tecniche, alcune basate su metodi di sfruttamento non pubblici e su bypass delle mitigazioni. Un elemento importante per la cybersecurity e che il kit non risulta efficace contro le versioni piu recenti di iOS, segno che gli aggiornamenti restano la prima linea di difesa.

Il funzionamento del framework e pensato per massimizzare il successo dell attacco. La catena inizia con una fase di fingerprinting del dispositivo, utile a capire se il target e reale e a raccogliere dettagli come modello di iPhone e versione di iOS. In base a queste informazioni viene caricato l exploit piu adatto, spesso partendo da una vulnerabilita WebKit di tipo remote code execution. Un esempio centrale e una falla di type confusion in WebKit corretta da Apple con aggiornamenti rilasciati nel 2024. Dopo l esecuzione di codice, la catena prosegue con un bypass della pointer authentication, passaggio chiave per aumentare il controllo sul sistema.

La storia operativa di Coruna evidenzia anche la circolazione di exploit tra attori diversi. Il kit sarebbe stato osservato in uso da febbraio 2025 e avrebbe cambiato piu volte proprietario, passando da un contesto di sorveglianza commerciale a un impiego riconducibile a operazioni governative, fino ad arrivare a gruppi con motivazioni economiche. Questo rafforza l idea di un mercato di seconda mano per zero day e strumenti avanzati, dove capacita tipiche dello spyware possono finire in campagne piu estese.

Un aspetto critico e la distribuzione tramite siti compromessi e pagine esca, con contenuti che spingono l utente a visitare da iPhone per una migliore esperienza. In alcuni casi la consegna avviene via iFrame nascosto e senza restrizioni geografiche, aumentando la superficie di attacco. Il kit include exploit che colpiscono diverse fasce di versioni iOS, dimostrando modularita e riuso di componenti.

Sul piano difensivo, emergono due indicazioni pratiche per la sicurezza iPhone. La prima e mantenere iOS sempre aggiornato per ridurre l esposizione a vulnerabilita note. La seconda e attivare Lockdown Mode quando serve un livello di protezione piu alto, poiche alcune catene di attacco evitano i dispositivi che utilizzano questa modalita o la navigazione privata.