I ricercatori di sicurezza hanno scoperto una serie di attacchi informatici che hanno preso di mira i clienti Apple in tutto il mondo. Gli strumenti utilizzati in queste campagne di hacking sono stati soprannominati Coruna e DarkSword e sono stati utilizzati sia dalle spie governative che dai criminali informatici per rubare dati dagli iPhone e iPad delle persone.
È raro vedere attacchi hacker diffusi contro gli utenti di iPhone e iPad. Nell’ultimo decennio gli unici precedenti sono stati gli attacchi contro i musulmani uiguri Cinae contro le persone in Hong Kong.
Ora, alcuni di questi potenti strumenti di hacking sono trapelati on-line, mettendo potenzialmente a rischio di furto di dati centinaia di milioni di iPhone e iPad con software program obsoleto.
Stiamo analizzando ciò che sappiamo e ciò che non sappiamo riguardo queste ultime minacce di hacking di iPhone e iPad e cosa puoi fare per rimanere protetto.
Cosa sono Coruna e DarkSword?
Coruna e DarkSword sono due set di toolkit di hacking avanzati che contengono ciascuno una serie di exploit in grado di penetrare negli iPhone e negli iPad e rubare i dati di una persona, come messaggi, dati del browser, cronologia delle posizioni e criptovaluta.
I ricercatori di sicurezza che hanno scoperto i toolkit affermano che gli exploit di Coruna possono hackerare iPhone e iPad con iOS 13 fino a iOS 17.2.1, rilasciato a dicembre 2023.
DarkSword, tuttavia, contiene exploit in grado di hackerare iPhone e iPad con dispositivi più recenti con iOS 18.4 e 18.7, rilasciati nel settembre 2025, secondo i ricercatori di sicurezza di Google che stanno indagando sul codice.
Ma la minaccia rappresentata da DarkSword è più immediata per il grande pubblico. Qualcuno ha fatto trapelare parte di DarkSword e l’ha pubblicato sul sito di code-sharing GitHub, rendendo facile per chiunque scaricare il codice dannoso e lanciare i propri attacchi contro gli utenti Apple che utilizzano versioni precedenti di iOS.
Come funzionano Coruna e DarkSword?
Questi tipi di attacchi sono per definizione indiscriminati e pericolosi, poiché possono intrappolare chiunque visiti un determinato sito Internet che ospita il codice dannoso.
Contattaci
Hai ulteriori informazioni su DarkSword, Coruna o altri strumenti governativi di hacking e adware? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram, Keybase e Wire @lorenzofb, o tramite e-mail.
In alcuni casi, le vittime possono essere hackerate semplicemente visitando un sito Internet legittimo sotto il controllo di hacker malintenzionati.
Quando le vittime vengono inizialmente infettate, Coruna e DarkSword sfruttano numerous vulnerabilità in iOS che consentono agli hacker di assumere virtualmente il pieno controllo del dispositivo del bersaglio, consentendo loro di rubare i dati privati della persona. I dati vengono quindi caricati su un server Internet gestito dagli hacker.
Almeno alcune parti del toolkit Coruna, come riportato in precedenza da TechCrunch, sono state originariamente sviluppate da Trenchant, un’unità di hacking e adware all’interno dell’appaltatore della difesa statunitense L3Harris, che vende exploit al governo degli Stati Uniti e ai suoi principali alleati.
Kaspersky ha anche collegato due exploit nel toolkit di Coruna a Operazione Triangolazioneun attacco informatico complesso e probabilmente condotto dal governo presumibilmente effettuato contro gli utenti russi di iPhone.
Dopo che Trenchant ha sviluppato Coruna – in qualche modo, non è chiaro come – questi exploit sono finiti nelle mani di spie russe e criminali informatici cinesi, forse attraverso uno o più intermediari che vendono exploit sul mercato clandestino.
I viaggi di Coruna dimostrano ancora una volta che potenti strumenti di hacking, compresi quelli sviluppati per gli Stati Uniti con rigide restrizioni di segretezza, possono diffondersi e proliferare senza controllo.
Un esempio di ciò è avvenuto nel 2017, quando è trapelato on-line un exploit sviluppato dalla Nationwide Safety Company statunitense, in grado di penetrare da remoto nei laptop Home windows di tutto il mondo. Lo stesso exploit è stato poi utilizzato nel distruttivo attacco ransomware WannaCry, che violato indiscriminatamente centinaia di migliaia di laptop in tutto il mondo.
Nel caso di DarkSword, i ricercatori hanno osservato attacchi contro utenti in Cina, Malesia, Turchia, Arabia Saudita e Ucraina. Non è chiaro chi abbia originariamente sviluppato DarkSword, come sia finito nelle mani di diversi gruppi di hacker o come gli strumenti siano trapelati on-line.
Non è chiaro chi abbia trapelato e pubblicato on-line su GitHub, o per quale motivo.
Gli strumenti di hacking rilevati da TechCrunch sono scritti nei linguaggi net HTML e JavaScript, il che li rende relativamente facili da configurare e ospitare autonomamente ovunque da chiunque desideri lanciare attacchi dannosi. (TechCrunch non si collega a GitHub poiché gli strumenti possono essere utilizzati in attacchi dannosi.) Ricercatori postando su X hanno già testato gli strumenti trapelati hackerando i propri dispositivi Apple che eseguono versioni vulnerabili del software program dell’azienda.
DarkSword è ora “essenzialmente plug-and-play”, come ha spiegato a TechCrunch Justin Albrecht, ricercatore principale presso la società di sicurezza cellular Lookout.
GitHub ha dichiarato a TechCrunch di non aver rimosso il codice trapelato, ma di preservarlo per la ricerca sulla sicurezza.
“Le politiche di utilizzo accettabile di GitHub vietano la pubblicazione di contenuti che supportano direttamente attacchi attivi illegali o campagne malware che causano danni tecnici”, ha dichiarato a TechCrunch Jesse Geraci, consulente per la sicurezza on-line di GitHub. “Tuttavia, non vietiamo la pubblicazione di codice sorgente che potrebbe essere utilizzato per sviluppare malware o exploit, poiché la pubblicazione e la distribuzione di story codice sorgente ha un valore educativo e fornisce un vantaggio netto alla comunità della sicurezza.”
Il mio iPhone o iPad è vulnerabile a DarkSword?
Se hai un iPhone o iPad non aggiornato, dovresti prendere in considerazione l’aggiornamento immediato.
Apple ha dichiarato a TechCrunch che gli utenti che eseguono le ultime versioni di iOS 15 fino a iOS 26 sono già protetti.
Secondo iVerifica: “Raccomandiamo vivamente l’aggiornamento a iOS 18.7.6 o iOS 26.3.1. Ciò mitigherà tutte le vulnerabilità che sono state sfruttate in queste catene di attacchi.”
Secondo Le statistiche di Applequasi un utente iPhone e iPad su tre non utilizza ancora l’ultima versione del software program iOS 26. Ciò significa che ci sono potenzialmente centinaia di milioni di dispositivi vulnerabili a questi strumenti di hacking, come sostiene Apple più di 2,5 miliardi dispositivi attivi in tutto il mondo.
Cosa succede se non posso o non voglio eseguire l’aggiornamento a iOS 26?
Apple ha inoltre affermato che anche i dispositivi che eseguono la modalità Lockdown, una funzionalità di sicurezza aggiuntiva introdotta per la prima volta in iOS 16, bloccano questi attacchi specifici.
La modalità di blocco è utile per giornalisti, dissidenti, attivisti per i diritti umani e chiunque pensi di poter essere preso di mira per quello che è o per il lavoro che svolge.
Sebbene la modalità di blocco non sia perfetta, non ci sono show pubbliche che gli hacker siano mai riusciti a bypassare le sue protezioni. (Abbiamo chiesto advert Apple se story affermazione è ancora vera e la aggiorneremo se avremo risposta.) È stato scoperto che la modalità di blocco ha impedito almeno un tentativo di installare adware sul telefono di un difensore dei diritti umani.
