DarkSword compromete 270 millones de iPhones con solo visitar una web infectada

Google Threat Intelligence Group (GTIG) ha identificado DarkSword, un exploit kit para iOS que aprovecha seis vulnerabilidades para comprometer completamente dispositivos con solo visitar un sitio web infectado. La herramienta, activa desde noviembre de 2025, afecta versiones de iOS 18.4 a 18.7 — aproximadamente 270 millones de iPhones globally según estimaciones de iVerify ya ha sido desplegada por actores de espionaje patrocinados por estados y vendedores comerciales de spyware contra objetivos en Ucrania, Arabia Saudita, Turquía y Malasia.

La cadena de explotación representa un cambio de paradigma en el malware móvil, está escrita completamente en JavaScript y no instala ningún archivo en el dispositivo. En lugar de desplegar payloads binarios tradicionales, los investigadores de Google documentaron que DarkSword secuestra procesos legítimos del sistema operativo, desde WebKit hasta el kernel para ejecutar código malicioso en memoria, extraer datos sensibles en cuestión de minutos y desaparecer sin dejar rastro al reiniciar el dispositivo. Esta técnica de "fileless malware" complica drásticamente la detección forense.

DarkSword combina seis vulnerabilidades distintas para lograr compromiso total del dispositivo. La cadena comienza con corrupción de memoria en JavaScriptCore (CVE-2025-31277 y CVE-2025-43529) para ejecución remota de código en Safari, continúa con un bypass de Pointer Authentication Codes via dyld (CVE-2026-20700), escapa del sandbox mediante un bug en ANGLE (CVE-2025-14174) y finalmente escala privilegios en el kernel usando CVE-2025-43510 y CVE-2025-43520.

El análisis de iVerify reveló que los atacantes dejaron el código completamente expuesto, sin ofuscar, con comentarios explicativos en inglés incluyendo el nombre interno de la herramienta, accesible para cualquiera que inspeccionara los sitios comprometidos.

Tres familias de malware se despliegan tras una infección exitosa:

• GHOSTBLADE prioriza la recolección masiva de datos, exfiltrando mensajes de iMessage, WhatsApp y Telegram, billeteras de criptomonedas y archivos multimedia ocultos.
• GHOSTKNIFE se enfoca en mensajes, datos de navegación, historial de ubicación y permite grabación de audio.
• GHOSTSABER funciona como backdoor persistente con capacidades de C2 via HTTP(S), enumeración de dispositivos, exfiltración de archivos y ejecución dinámica de scripts.

Lookout determinó que las capacidades de robo de criptomonedas sugieren que actores con motivación financiera también han accedido al kit.

La proliferación de DarkSword entre actores diversos refleja un mercado secundario de exploits de alto nivel. UNC6353, un grupo de espionaje ruso previamente vinculado al kit Coruna, ha integrado DarkSword en campañas de watering hole contra sitios ucranianos, incluyendo el dominio gubernamental 7aac[.]gov[.]ua y la agencia de noticias novosti[.]dn[.]ua. UNC6748, otro cluster de amenazas, desplegó el kit contra usuarios en Arabia Saudita mediante un dominio de phishing temático de Snapchat. PARS Defense, un proveedor turco de vigilancia comercial, lo utilizó contra objetivos en Turquía y Malasia.

Apple parcheó todas las vulnerabilidades con iOS 26.3, y la mayoría fueron corregidas en actualizaciones anteriores. Los usuarios en iOS 18.7.3 o superior, e iOS 26.3 o superior, no son susceptibles. Para quienes no puedan actualizar inmediatamente, habilitar Lockdown Mode restringe la ejecución de JavaScript y otras funcionalidades web comúnmente explotadas. Google ha añadido los dominios de distribución de DarkSword a Safe Browsing para protección en tiempo real.