Corona è noto anche per essere utilizzato da tre distinti gruppi di hacker. Google ne ha rilevato per la prima volta l’utilizzo in un’operazione condotta da “un cliente di un fornitore di servizi di sorveglianza” nel febbraio dello scorso anno. La vulnerabilità sfruttata, tracciata come CVE-2025-23222, è stata corretta 13 mesi fa. Nel luglio 2025, un “sospetto gruppo di spionaggio russo” ha sfruttato CVE-2023-43000 in attacchi immessi su siti web frequentati da obiettivi ucraini. Lo scorso dicembre, Google è riuscita a recuperare l’intero kit di exploit utilizzato da “aggressori cinesi motivati finanziariamente”.
“Non è chiaro come sia avvenuta questa proliferazione, ma suggerisce un mercato attivo per exploit zero-day di seconda mano”, ha scritto Google. “Oltre a questi exploit identificati, diversi autori di minacce hanno ora acquisito tecniche di exploit avanzate che possono essere riutilizzate e modificate con le vulnerabilità appena identificate.”
I ricercatori di Google hanno scritto:
Abbiamo recuperato tutti gli exploit offuscati, inclusa la terminazione del payload. Dopo un’ulteriore analisi, abbiamo notato un caso in cui l’attore ha distribuito la versione di debug dell’exploit kit, lasciando puliti tutti gli exploit con i rispettivi nomi in codice interno. È stato allora che abbiamo appreso che probabilmente l’exploit kit era chiamato internamente Corona. In totale, abbiamo raccolto centinaia di campioni che coprono un totale di cinque catene complete di exploit iOS. L’exploit kit è in grado di prendere di mira vari modelli di iPhone dalla versione iOS 13.0 (rilasciata a settembre 2019) alla versione 17.2.1 (rilasciata a dicembre 2023).
I 23 exploit con nomi in codice e altre informazioni sono:
| Tipo | nome in codice | Versione mirata (inclusa) | versione fissa | CVE |
| Contenuto Web R/W | buffout | 13 → 15.1.1 | 15.2 | CVE-2021-30952 |
| Contenuto Web R/W | Zakuruto | 15.2 → 15.5 | 15.6 | CVE-2022-48503 |
| Contenuto Web R/W | uccello blu | 15.6 → 16.1.2 | 16.2 | Non sono presenti CVE |
| Contenuto Web R/W | uccello terrorista | 16.2 → 16.5.1 | 16.6 | CVE-2023-43000 |
| Contenuto Web R/W | Casuario | 16.6 → 17.2.1 | 16.7.5, 17.3 | CVE-2024-23222 |
| Ignora il PAC WebContent | il vento | 13→14.x | ? | Non sono presenti CVE |
| Ignora il PAC WebContent | ventilato15 | 15→16.2 | ? | Non sono presenti CVE |
| Ignora il PAC WebContent | campana del seme | 16.3 → 16.5.1 | ? | Non sono presenti CVE |
| Ignora il PAC WebContent | seedbell_16_6 | 16.6 → 16.7.12 | ? | Non sono presenti CVE |
| Ignora il PAC WebContent | seedbell_17 | 17 → 17.2.1 | ? | Non sono presenti CVE |
| Fuga dalla sandbox WebContent | Caricatore di ferro | 16.0 → 16.3.116.4.0 (<= A12) | 15.7.8, 16.5 | CVE-2023-32409 |
| Fuga dalla sandbox WebContent | Caricatore di neuroni | 16.4.0 → 16.6.1 (A13-A16) | 17.0 | Non sono presenti CVE |
| PE | neutroni | 13.X | 14.2 | CVE-2020-27932 |
| PE (Scheda tecnica) | Dinamo | 13.X | 14.2 | CVE-2020-27950 |
| PE | il pendolo | 14 → 14.4.x | 14.7 | Non sono presenti CVE |
| PE | Fotone | 14.5 → 15.7.6 | 15.7.7, 16.5.1 | CVE-2023-32434 |
| PE | Parallasse | 16.4 → 16.7 | 17.0 | CVE-2023-41974 |
| PE | Gruber | 15.2 → 17.2.1 | 16.7.6, 17.3 | Non sono presenti CVE |
| Bypassare le persone | Quark | 13.X | 14.5 | Non sono presenti CVE |
| Bypassare le persone | Gallio | 14.x | 15.7.8, 16.6 | CVE-2023-38606 |
| Bypassare le persone | Carbonio | 15.0 → 16.7.6 | 17.0 | Non sono presenti CVE |
| Bypassare le persone | il passero | 17.0 → 17.3 | 16.7.617.4 | CVE-2024-23225 |
| Bypassare le persone | il razzo | 17.1→17.4 | 16.7.8, 17.5 | CVE-2024-23296 |
CISA aggiunge solo tre CVE al suo catalogo. Sono:
- CVE-2021-30952 Overflow di numeri interi o vulnerabilità del wrapper in più prodotti Apple
- CVE-2023-41974 Vulnerabilità di rilascio dopo l’uso di Apple iOS e iPadOS
- CVE-2023-43000 Vulnerabilità use-after-release in più prodotti Apple
La CISA ordina alle agenzie di “implementare le mitigazioni in conformità con le istruzioni del fornitore, seguire le linee guida applicabili… per i servizi cloud o interrompere l’uso del prodotto se le mitigazioni non sono disponibili”. L’agenzia ha avvertito: “Questi tipi di vulnerabilità sono frequenti vettori di attacco per attori informatici malintenzionati e comportano rischi significativi per le imprese federali”.
