Un nuovo capitolo di cyberspionaggio internazionale è emerso con la scoperta che un toolkit per hackerare iPhone, noto come Coruna, potrebbe derivare da un contractor militare statunitense. Secondo un’indagine di TechCrunch, due ex addetti dello stabilimento Trenchant di L3Harris, divisione interna dedicata alle tecnologie di sorveglianza, hanno confermato che Coruna era un nome interno per alcuni dei suoi componenti. I tool, originariamente destinati all’uso da parte di governi occidentali, sono poi finiti nelle mani di spie russe e cybercriminali cinesi, trasformando un arsenale di sicurezza in una minaccia globale.
Coruna è composto da 23 moduli distinti con exploit per iOS 13–17.2.1, utilizzabili per attacchi via browser (“watering hole”), bypass di sandbox e escalation di privilegi kernel; tutte caratteristiche che suggeriscono un’organizzazione di sviluppo ben finanziata e riservata.
Il contesto: da Google l’allarme sul kit Coruna
Nel corso del 2025, il team Google Threat Analysis Group ha individuato Coruna per la prima volta usato in attacchi mirati da parte di un cliente governativo di un fornitore di sorveglianza. Successivamente, lo stesso kit è stato impiegato in campagne rivolte a utenti ucraini da parte di agenti dell’intelligence russa e, infine, dai criminali cinesi per frodi e sottrazione di criptovalute.
Questi passaggi hanno evidenziato un mercato emergente di exploit di “seconda mano”, dove armi digitali sviluppate per scopi militari o di intelligence diventano disponibili a malintenzionati con obiettivi lucrativi.
L’azienda specializzata nella sicurezza mobile iVerify ha analizzato Coruna e ha rilevato forti somiglianze con toolkit precedentemente attribuiti agli Stati Uniti, rafforzando l’ipotesi di un’origine governativa. Questa traiettoria dalla sicurezza alla criminalità, passando per l’uso politico, riecheggia dinamiche già osservate, come nel caso di EternalBlue, exploit rubato all’NSA e poi usato in WannaCry e NotPetya.
Attribuzione a L3Harris e il ruolo di Trenchant
Le fonti interne di TechCrunch indicano con chiarezza che Trenchant, divisione hacker di L3Harris, ha prodotto moduli simili a quelli del kit Coruna.
Uno degli ex dipendenti ha dichiarato che “Coruna era sicuramente un nome interno”, mentre un altro ha confermato che alcuni dettagli del kit pubblicato corrispondono esattamente a quanto sviluppato in azienda.
Ciò è rafforzato da analogie stilistiche e simboliche: i moduli del kit hanno nomi di uccelli (ad esempio Cassowary, Terrorbird, Bluebird, Jacurutu, Sparrow), scelta stilistica già vista nella startup Azimuth acquisita da L3Harris. Inoltre, il logo della campagna Operation Triangulation—un mela composta da triangoli—ricorda visivamente quello di L3Harris, suggerendo una possibile collegamento grafico intenzionale.
Operation Triangulation e le connessioni tecniche
Operation Triangulation, rivelata da Kaspersky nel 2023, ha coinvolto exploit chiamati Photon e Gallium.
Google ha collegato questi a Coruna, dimostrando un legame tecnico tra le due operazioni. Il cofondatore di iVerify, Rocky Cole, ha dichiarato che timeline, struttura e moduli designati suggeriscono fortemente l’origine comune: lo sviluppo interno presso un contractor USA e un cliente governativo sono la spiegazione più plausibile.
Tuttavia, Kaspersky resta prudente nell’attribuzione ufficiale: sebbene Photon e Gallium siano stati utilizzati in entrambe le campagne, queste vulnerabilità erano pubblicamente note, per cui l’abuso potrebbe provenire da chiunque. Gli stessi indicatori di compromesso rilevabili dall’NCCCI russo erano quelli già identificati da Kaspersky, ma non è stato confermato un legame esplicito allo sviluppatore originario.
Un flusso incontrollato nel mercato degli exploit
L’evoluzione di Coruna riflette un fenomeno inquietante: i tool offensivi sviluppati per scopi governativi non rimangono confinati. Una volta fuoriusciti, possono essere venduti o rubati, finendo nelle mani sbagliate. In questo caso, l’arco narrativo spazia dalle cyber operazioni mirate a governi fino all’uso criminale ampio e indiscriminato.
Le conseguenze sono gravi: la proliferazione di exploit come Coruna sottolinea la fragilità degli equilibri nel mondo della cybersecurity. Anche i sistemi delle democrazie più avanzate rischiano di essere compromessi da strumenti nati per “garantire la sicurezza” e diventati armi diffuse sul mercato grigio.
Questo scenario dovrebbe indurre a una riflessione sulle strategie di governance degli exploit: controlli più stringenti, normative internazionali e processi di accountability nei confronti di chi li sviluppa e utilizza, diventano elementi essenziali per evitare che strumenti potenzialmente devastanti finiscano nelle mani sbagliate.
Infine, il caso Coruna illustra quanto sia sottile il confine tra sicurezza e minaccia quando si tratta di cyber-armi: il controllo delle tecnologie offensive non può limitarsi alla fase di progettazione, ma deve estendersi al ciclo di vita completo, includendo prevenzione delle fughe, trasparenza, responsabilità e cooperazione internazionale.
