Múltiples atacantes han explotado un nuevo kit de explotación para dispositivos Apple iOS diseñado para robar datos confidenciales desde al menos noviembre de 2025, según un informe de Google Threat Intelligence Group (GTIG), iVerify y Lookout.
Según GTIG, múltiples proveedores de vigilancia comercial y presuntos atacantes patrocinados por el estado utilizaron el kit de explotación de cadena completa, con nombre en código DarkSword, en campañas separadas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.
El descubrimiento de DarkSword lo convierte en el segundo kit de exploits para iOS descubierto en menos de un mes, después de Coruña. El kit está diseñado para iPhones que ejecutan versiones de iOS desde iOS 18.4 a 18.7 y supuestamente fue implementado por un presunto grupo de espías ruso llamado UNC6353 en ataques dirigidos a usuarios en Ucrania.
Vale la pena señalar que UNC6353 también está asociado con el uso de Coruna en ataques dirigidos a ucranianos mediante la inyección de marcos JavaScript en sitios web comprometidos.
«DarkSword tiene como objetivo extraer una amplia gama de información personal de los dispositivos, incluidas credenciales, y apunta específicamente a una serie de aplicaciones de billeteras criptográficas, lo que sugiere que es un atacante con motivación financiera», dijo Lookout. «En particular, DarkSword parece adoptar un enfoque de ‘atacar y huir’ al recopilar y extraer datos específicos de los dispositivos en cuestión de segundos, o minutos como máximo, y luego limpiarlos».
Las cadenas de exploits como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de la víctima con poca o ninguna interacción por parte del usuario. Este hallazgo reitera que existe un mercado de segunda mano para exploits, que permite a grupos de amenazas con recursos y objetivos limitados que no necesariamente se alinean con el ciberespionaje adquirir «exploits de primera línea» y utilizarlos para infectar dispositivos móviles.
«El uso de DarkSword y Coruna por parte de una variedad de actores de amenazas demuestra el riesgo continuo de propagación de exploits entre actores de amenazas con diferentes geografías y motivaciones», dijo GTIG.
La cadena de exploits vinculada al kit recién descubierto aprovecha seis vulnerabilidades diferentes para implementar tres cargas útiles. CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotados como días cero antes de que Apple los parcheara.
CVE-2025-31277 – Vulnerabilidad de corrupción de memoria de JavaScriptCore (parcheada en la versión 18.6) CVE-2026-20700 – Omisión del código de autenticación de puntero (PAC) en modo de usuario en dyld (parcheada en la versión 26.3) CVE-2025-43529 – Vulnerabilidad de corrupción de memoria de JavaScript Core (parcheada en la versión 18.6) 18.7.3 y 26.2) CVE-2025-14174: vulnerabilidad de corrupción de memoria de ANGLE (parcheada en las versiones 18.7.3 y 26.2) CVE-2025-43510: vulnerabilidad de administración de memoria del kernel de iOS (parcheada en las versiones 18.7.2 y 26.1) CVE-2025-43520: memoria del kernel de iOS vulnerabilidad de corrupción (parcheada en las versiones 18.7.2 y 26.1)
Lookout dijo que descubrió DarkSword después de analizar la infraestructura maliciosa asociada con UNC6353 e identificar que uno de los dominios comprometidos albergaba un elemento iFrame malicioso que cargaba JavaScript en la huella digital del dispositivo que visitaba el sitio para determinar si el objetivo debía enrutarse a una cadena de exploits de iOS. Actualmente se desconoce la forma exacta en que se infectan los sitios web.
Lo que hizo que esto fuera notable fue que JavaScript buscaba específicamente dispositivos iOS que ejecutaran versiones de 18.4 a 18.6.2, a diferencia de Coruna, que apuntaba a versiones anteriores de iOS de 13.0 a 17.2.1.
«DarkSword es una completa herramienta de robo de información y cadena de exploits escrita en JavaScript», explicó Lookout. «Se utilizan múltiples vulnerabilidades para establecer la ejecución de código privilegiado, acceder a información confidencial y extraer información del dispositivo».
Al igual que en Coruña, la cadena de ataque comienza cuando un usuario accede a una página web a través de Safari que contiene un iFrame integrado que contiene JavaScript. Una vez lanzado, DarkSword puede superar las limitaciones del entorno limitado de WebContent (también conocido como proceso de renderizado de Safari) y utilizar WebGPU para inyectar en mediaplaybackd, un demonio del sistema introducido por Apple para manejar la funcionalidad de reproducción de medios.
Esto permite que un malware de minería de datos llamado GHOSTBLADE obtenga acceso a procesos privilegiados y partes restringidas del sistema de archivos. Después de una escalada de privilegios exitosa, utilizamos el módulo Orchestrator para cargar componentes adicionales diseñados para recopilar datos confidenciales, así como también inyectar una carga útil de extracción en Springboard para desviar la información preparada a un servidor externo a través de HTTP(S).
Esto incluye correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación de Safari y cookies, billeteras de criptomonedas y datos de intercambio, nombres de usuario, contraseñas, fotos, historial de llamadas, configuraciones y contraseñas de Wi-Fi, historial de ubicaciones, calendario, información del teléfono celular y de la tarjeta SIM, lista de aplicaciones instaladas, datos de aplicaciones de Apple como Notas y Salud, e historial de mensajes de aplicaciones como Telegram y WhatsApp.
En su propio análisis de DarkSword, iVerify afirma que esta cadena de exploits se arma con una vulnerabilidad JavaScriptCore JIT en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529) basado en la versión de iOS para lograr la ejecución remota de código a través de CVE-2026-20700, y luego aprovecha el proceso de GPU para escapar del sandbox. CVE-2025-14174 y CVE-2025-43510.
La etapa final aprovecha una falla de escalada de privilegios del kernel (CVE-2025-43520) para obtener capacidades de lectura/escritura arbitrarias y capacidades de llamada de funciones arbitrarias dentro de mediaplaybackd, y finalmente ejecuta el código JavaScript inyectado.
«Este malware es muy sofisticado y parece ser una plataforma diseñada profesionalmente que permite un rápido desarrollo de módulos mediante el acceso a lenguajes de programación de alto nivel», dijo Lookout. «Este paso adicional muestra que se han realizado muchos esfuerzos para desarrollar este malware teniendo en cuenta la mantenibilidad, el desarrollo a largo plazo y la extensibilidad».
Un análisis más detallado de los archivos JavaScript utilizados por DarkSword reveló que contienen referencias a las versiones de iOS 17.4.1 y 17.5.1. Esto indica que este kit fue portado desde una versión anterior dirigida a una versión anterior del sistema operativo.
Otro aspecto que distingue a DarkSword de otros programas espía es que no está destinado a la vigilancia continua ni a la recopilación de datos. Esto significa que una vez que se completa la extracción de datos, el malware limpia los archivos preparados y sale. Según Lookout, el objetivo es minimizar el tiempo de permanencia y extraer los datos identificados lo más rápido posible.
Poco se sabe sobre UNC6353 aparte del uso de Coruña y DarkSword en ataques de abrevadero contra sitios web ucranianos comprometidos. Esto indica que este grupo de hackers puede tener fondos suficientes para asegurar una cadena de exploits de iOS de alta calidad, probablemente desarrollada para vigilancia comercial. Se considera que UNC6353 es un actor técnicamente menos sofisticado cuyos motivos se alinean con los requisitos de la inteligencia rusa.
«Dadas las capacidades de recopilación de inteligencia y robo de criptomonedas de Coruña y DarkSword, debemos considerar la posibilidad de que UNC6353 sea un grupo privado respaldado por Rusia o un actor criminal de amenazas proxy», dijo Lookout.
«La total falta de ofuscación en el código DarkSword, la ausencia de ofuscación en el HTML del iframe y el hecho de que el receptor de archivos DarkSword está diseñado de manera muy simple y tiene un nombre claro sugiere que UNC6353 no tiene acceso a recursos de ingeniería sólidos o no está interesado en implementar contramedidas OPSEC apropiadas».
El uso de DarkSword también se ha relacionado con otros dos actores.
UNC6748 apuntó a usuarios en Arabia Saudita en noviembre de 2025 utilizando el chat snapshare(.)del sitio web con temática de Snapchat y utilizó una cadena de exploits para entregar GHOSTKNIFE, una puerta trasera de JavaScript capaz de robar información. Actividades relacionadas con el proveedor turco de vigilancia comercial PARS Defense. En noviembre de 2025, DarkSword se utilizó para entregar GHOSTSABER, una puerta trasera de JavaScript que se comunica con servidores externos para facilitar la enumeración de cuentas y dispositivos, el listado de archivos, la filtración de datos y la ejecución de código JavaScript arbitrario.
Google dijo que el uso de DarkSword por parte de UNC6353 observado en diciembre de 2025 solo admitía las versiones de iOS 18.4 a 18.6, mientras que UNC6748 y lo que se cree que es PARS Defense también apuntaba a dispositivos iOS que ejecutaban la versión 18.7.
«Por segunda vez en el último mes, los actores de amenazas han utilizado ataques de abrevadero para atacar a los usuarios de iPhone», dijo iVerify. «Es de destacar que ninguno de estos ataques fue dirigido individualmente; el ataque combinado podría afectar actualmente a cientos de millones de dispositivos sin parches que ejecutan las versiones de iOS 13 a 18.6.2».
«En ambos casos, las herramientas fueron descubiertas debido a importantes fallas de seguridad operativa (op-sec) y a un descuido en el despliegue de capacidades de ataque de iOS. Estos eventos recientes plantean varias preguntas importantes: ¿Qué tan grande y bien equipado está el mercado para exploits de día 0 y día n para dispositivos iOS? ¿Qué tan accesibles son capacidades tan poderosas para atacantes con motivación económica?»
Source link
