L’immagine del fortino inespugnabile di Cupertino sta subendo una torsione violenta, quasi innaturale.
Non è la solita falla isolata, ma un’architettura di aggressione che somiglia a un puzzle di alta ingegneria bellica finito nelle mani sbagliate. Lo hanno chiamato Coruna, un exploit kit che non si limita a bussare alla porta di iOS, ma ne scardina i cardini utilizzando una forza bruta intellettuale senza precedenti: 23 vulnerabilità diverse coordinate in cinque catene di attacco complete.
Il Threat Intelligence Group di Google (l’eredità operativa di Mandiant) e gli analisti di iVerify hanno scoperchiato un vaso di Pandora che copre un arco temporale vastissimo, colpendo potenzialmente chiunque non sia passato alle versioni più recenti di iOS, restando fermo tra la 13 e la 17.2.1.
Il nuovo attacco ad Apple
La tecnica è quella del “watering hole”: siti civetta, spesso mascherati da piattaforme per il trading di criptovalute, che attendono il passaggio della vittima. Una volta atterrati sulla pagina, un invisibile script JavaScript inizia a sezionare il dispositivo, leggendo il modello e la versione del sistema operativo con la precisione di un chirurgo.
C’è un dettaglio quasi ironico nel codice di Coruna: il malware è un predatore che teme i cani da guardia. Se rileva la Lockdown Mode attiva o nota che l’utente sta navigando in modalità privata, il kit interrompe immediatamente l’esecuzione. È una forma di pragmatismo criminale. Gli sviluppatori di Coruna non vogliono sprecare le proprie munizioni contro bersagli che hanno già alzato i ponti levatoi o che potrebbero lasciare tracce in un ambiente controllato. È la prova che l’hacking d’élite sta diventando una questione di efficienza economica, prima ancora che tecnica.
La vera notizia, quella che agita le stanze di chi si occupa di sicurezza nazionale, riguarda l’origine di questi strumenti. iVerify ha notato una parentela genetica inquietante tra Coruna e vecchi tool di hacking un tempo attribuiti al governo statunitense. Qui sorge un’intuizione che rompe la narrazione classica della cybersicurezza: stiamo entrando nell’era del “cyber-scavenging” o bricolage bellico. Non siamo di fronte a spie di Stato, ma a criminali comuni che hanno frugato tra i detriti digitali delle agenzie governative, raccogliendo pezzi di codice “dismessi” o trapelati per assemblare un Frankenstein digitale.
Per la prima volta assistiamo alla democratizzazione verso il basso di armi cibernetiche di grado militare, utilizzate non per destabilizzare governi, ma per svuotare portafogli digitali. L’obiettivo finale di Coruna è infatti pedestre: estrarre seed phrase e chiavi private dai wallet di criptovalute. Un colpo da scasso eseguito con un laser satellitare.
Un particolare laterale, quasi trascurato nei report tecnici, riguarda la gestione della memoria durante l’iniezione del malware: il kit sembra prediligere una pulizia dei log talmente ossessiva da ricordare i protocolli di sanificazione dei laboratori biologici. Questo suggerisce che chi ha compilato Coruna ha una cultura della segretezza che va ben oltre la necessità di un normale ladro di Bitcoin.
Questa vicenda suggerisce che il concetto stesso di “aggiornamento software” debba essere percepito non più come un fastidio notturno, ma come l’unica barriera contro una criminalità che ha smesso di scrivere i propri grimaldelli per iniziare a riciclare quelli dei servizi segreti. La sicurezza di Apple non è crollata, ma è stata aggirata usando le sue stesse vecchie ombre.