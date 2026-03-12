Progettato per operazioni di intelligence e finito in mano ai cyber criminali, il toolkit Coruna sta mettendo sotto pressione gli iPhone a livello globale.

Basta un iPhone per essere potenzialmente esposti a Coruna, toolkit di L3Harris per operazioni di intelligence, che nelle mani dei cyber criminali è un potente vettore illegale. In particolare, scrivono diversi esperti di sicurezza informatica, “nelle mani di diversi gruppi di hacker, tra cui agenti del governo russo e cybercriminali cinesi“.

La scorsa settimana Google ha rivelato: “Nel corso del 2025 i nostri analisti hanno individuato un sofisticato toolkit per l’hacking degli iPhone. Il suo impiego è avvenuto in una serie di attacchi a livello globale. Il pacchetto di strumenti, chiamato Coruna dal suo sviluppatore originale, è composto da 23 diversi componenti“.

Inizialmente il toolkit era stato sviluppato dall’azienda che ha in appalto diversi servizi per la Difesa Usa. Il suo impiego è tuttavia cambiato, finendo per colpire gli utenti direttamente sui loro dispositivi.

Un vettore di cyberspionaggio

Lo “scambio” di piattaforme le avrebbe rese disponibili, dapprima, a spie governative russe contro un numero limitato di cittadini ucraini. Poi, in una fase successiva, a cybercriminali cinesi in campagne su larga scala con l’obiettivo di rubare denaro e criptovalute.

Due ex dipendenti di L3Harris hanno spiegato che lo sviluppo di Coruna sarebbe avvenuto almeno in parte dalla divisione Trenchant dell’azienda. La quale, si occupa di tecnologie di hacking e sorveglianza.

Entrambi conoscevano direttamente gli strumenti di hacking per iPhone dell’azienda e hanno parlato a condizione di anonimato. Non erano infatti in possesso di un’autorizzazione per discutere pubblicamente del loro lavoro.

La struttura del toolkit

“Coruna era sicuramente il nome interno di uno dei componenti”, ha spiegato uno degli ex dipendenti. “Guardando i dettagli tecnici che Google ha pubblicato, molti elementi risultano familiari”.

Secondo TechCrunch, il toolkit principale di Trenchant comprendeva diversi moduli e componenti, tra cui proprio Coruna e altri exploit collegati. Un secondo ex dipendente ha confermato che alcune delle caratteristiche tecniche del toolkit rese pubbliche deriverebbero effettivamente dalle tecnologie sviluppate da Trenchant.

L3Harris vende strumenti di hacking e sorveglianza – il cui sviluppo è proprio di Trenchant – esclusivamente al Governo degli Usa e ai suoi alleati all’interno dell’alleanza di intelligence Five Eyes. Alleanza di cui fanno parte, oltre agli stessi Usa, Uk, Australia, Canada e Nuova Zelanda.

L’interrogativo, dunque, è capire come questo strumento sia divenuto disponibile agli apparati “rivali” che lo hanno impiegato per attaccare uno dei dispositivi più comuni per gli scambi di informazioni.

Proprio a causa del numero limitato di clienti autorizzati, è molto difficile ricostruire la catena di acquisto e cessione della piattaforma. Anche perché non è ancora chiaro di quale parte del toolkit “pubblico” si sia occupata Trenchant. Potrebbe dunque sorgere un caso di cyberspionaggio industriale, dalle conseguenze geopolitiche e geo-economiche.

