Si chiama Coruna, è un virus, ma non ha nulla a che vedere con una minaccia sanitaria. È invece un exploit kit, un sistema di strumenti informatici, capace di colpire gli iPhone sfruttando vulnerabilità del suo sistema operativo iOS. Ma più che il nome del malware o l’elenco delle versioni colpite, nel caso Coruna il punto centrale è un altro: il rischio - ora realtà - che strumenti nati per attività di sorveglianza possano sfuggire al controllo e finire nelle mani di criminali che agiscono sul web.

A portare alla luce il caso Coruna è stato il Google Threat Intelligence Group, che rende conto del proprio operato in un dettagliato report pubblicato sul suo blog. Di costa si tratta quindi? Non di un singolo virus ma di una sorta di “cassetta degli attrezzi” digitali in grado di sfruttare falle del sistema operativo mentre gli utenti navigano online. Una volta compromesso il dispositivo, sugli iPhone viene installato un malware chiamato Plasmagrid in grado di sottrarre informazioni finanziarie e, secondo le analisi, anche di svuotare wallet di criptovalute. In fondo il principio è sempre lo stesso: i dati sono il nuovo petrolio, anche se forse non è il momento migliore per ricordarlo.

La scoperta risale a febbraio 2025, quando il team di cyber intelligence di Google ne ha rilevato l’uso da parte del cliente di un’azienda di sorveglianza. Nei mesi successivi il software sarebbe però comparso anche in operazioni di gruppi criminali. A luglio sarebbe stato utilizzato dal gruppo russo UNC6353 contro alcuni siti ucraini. A dicembre è stato invece associato a UNC6691, realtà indicata come cinese, in attacchi contro siti di scommesse e criptovalute. Secondo le ricostruzioni della società di sicurezza iVerify Coruna sarebbe stato sviluppato da un’azienda specializzata in software di sorveglianza per essere venduto al governo degli Stati Uniti. Sempre secondo iVerify si tratta del "primo attacco iOS di massa mai visto".

Una dinamica che alimenta il sospetto dell’esistenza di un mercato di seconda mano dei cosiddetti zero-day, ovvero le vulnerabilità, le piccole falle sconosciute ai produttori dei sistemi operativi: merce preziosa per chi vuole violarli. 

Il bersaglio principale sono soprattutto gli iPhone più datati, cioè i dispositivi che non possono aggiornarsi alle versioni più recenti del sistema operativo. Apple è già corsa ai ripari: le vulnerabilità sfruttate da Coruna sono state corrette con aggiornamenti di iOs, mentre per gli utenti che non possono aggiornare il sistema operativo, gli esperti di sicurezza consigliano di attivare la modalità di isolamento del dispositivo.