C’è un uomo in carcere che potrebbe spiegare tutto. Si chiama Peter Williams, era il responsabile di Trenchant, la divisione di L3Harris specializzata in strumenti di sorveglianza e hacking per conto del governo americano, ed è stato condannato per aver venduto toolkit sviluppati internamente ad agenti russi tra il 2022 e il 2025. Il suo nome non compare esplicitamente nel dossier su Coruna, ma la sovrapposizione è difficile da ignorare.
Coruna è il nome attribuito dai ricercatori di Google e iVerify a un sofisticato exploit kit per iPhone scoperto nelle scorse settimane. Fin da subito l’ipotesi più accreditata era quella di un’origine governativa statunitense. Ora TechCrunch ha pubblicato un lungo articolo che rafforza quella tesi citando due ex dipendenti anonimi di L3Harris: secondo le loro testimonianze, il toolkit sarebbe stato sviluppato almeno in parte proprio da Trenchant, la stessa divisione guidata da Williams.
Da toolkit governativo a strumento del crimine organizzato
La traiettoria di Coruna racconta qualcosa di più inquietante della semplice scoperta di uno spyware per iPhone. Inizialmente il toolkit sarebbe stato impiegato in operazioni di spionaggio mirate, rivolte agli obiettivi tipici dei clienti di L3Harris: esclusivamente gli USA e i paesi del Five Eyes, l’alleanza di intelligence che include Australia, Canada, Nuova Zelanda e Regno Unito.
A un certo punto il software ha cambiato mani. Prima è passato a un gruppo di spionaggio russo, poi a un collettivo di cybercriminali cinesi specializzati nel furto di denaro e criptovalute. Le campagne di Coruna attualmente più intense coinvolgono iPhone in Ucraina, il che avvalora la pista delle spie russe, e in Cina, coerente con l’ipotesi dei cybercriminali cinesi. Due scenari distinti, due attori diversi, un unico toolkit di origine americana.
Cosa sappiamo e cosa resta ancora da dimostrare
Il nome Coruna è arbitrario: lo hanno scelto i ricercatori che lo hanno scoperto, non chi lo ha sviluppato. Come venisse chiamato internamente in Trenchant resta ignoto. Dimostrare il collegamento diretto tra L3Harris e questo specifico spyware per iPhone rimane complicato anche perché, trattandosi di una collezione di exploit, è tecnicamente possibile che il toolkit sia stato modificato nel tempo con strumenti aggiunti o rimossi a seconda delle esigenze operative.
Quello che è certo è che Williams è oggi in carcere per aver ceduto a operatori russi diversi strumenti nati dentro Trenchant nello stesso arco temporale in cui Coruna sarebbe stato attivo. Una coincidenza difficile da liquidare come tale.
