Por Canuto  

Una nueva cadena de exploits para iPhone, bautizada DarkSword, fue usada por múltiples actores de amenazas, incluidos grupos vinculados a Rusia, para comprometer dispositivos, robar datos personales y acceder potencialmente a billeteras cripto. El hallazgo refuerza las alarmas sobre la proliferación de spyware móvil avanzado y sobre un mercado secundario de herramientas de intrusión cada vez más accesibles.

***

  • Google, iVerify y Lookout detectaron que DarkSword fue utilizado desde al menos noviembre de 2025.
  • Los piratas informáticos rusos entre los usuarios, contra objetivos en Ucrania, Arabia Saudita, Turquía y Malasia.
  • El kit podía extraer contraseñas guardadas, fotos, mensajes, historial de navegación y datos de billeteras de criptomonedas, con infecciones de corta duración.
  • Los investigadores afirman que las vulnerabilidades ya fueron corregidas por Apple, y que toda la cadena quedó parchada con iOS 26.3.

 

Investigadores de Google, iVerify y Lookout identificaron una nueva cadena de exploits para iPhone llamada DarkSword, usada por varios actores de amenazas para comprometer dispositivos iOS y extraer información sensible. El hallazgo se suma al reciente caso de Coruna y sugiere que las herramientas avanzadas de intrusión móvil podrían estar circulando mucho más de lo que se creía.

La investigación publicada este miércoles describe una campaña que afectó a usuarios en Ucrania y también rastrea actividad en Arabia Saudita, Turquía y Malasia. En el caso ucraniano, los ataques fueron atribuidos al grupo UNC6353, al que Google sigue como un actor de espionaje sospechoso de estar respaldado por Rusia.

Para los usuarios del ecosistema cripto, el punto más delicado es que DarkSword podía extraer datos de billeteras, además de contraseñas guardadas, mensajes de texto y otra información privada. Ese cruce entre espionaje y posible robo financiero refuerza la preocupación por el uso de spyware móvil contra personas con activos digitales o acceso a infraestructura sensible.

Según los investigadores, Apple ya había sido notificada sobre las vulnerabilidades explotadas por DarkSword. Google indicó que reportó esos fallos a finales de 2025 y que todas las vulnerabilidades utilizadas por la cadena quedaron parcheadas con el lanzamiento de iOS 26.3, aunque la mayoría ya habían sido corregidas antes.

Qué es DarkSword y por qué preocupa a los investigadores

DarkSword es una cadena de explotación completa para iOS que utilizó seis vulnerabilidades distintas para lograr la ejecución de una carga final con privilegios de kernel. De acuerdo con Google Threat Intelligence Group, era compatible con versiones de iOS 18.4 a 18.7 y, a diferencia de Coruna, su rango de compatibilidad era más limitado.

La herramienta llamaba la atención no solo por su sofisticación técnica, sino por su proliferación. Google sostuvo que desde al menos noviembre de 2025 observó a múltiples proveedores de vigilancia comercial y a actores sospechosos de patrocinio estatal utilizando DarkSword en campañas separadas.

La presencia del mismo kit entre actores distintos refuerza una hipótesis que ya había surgido con Coruna: existe un mercado secundario de exploits móviles donde capacidades muy avanzadas terminan en manos de grupos con motivaciones y geografías diferentes. Para los investigadores, esa es una de las tendencias más inquietantes del caso.

Rocky Cole, cofundador y director de operaciones de iVerify, señaló que tanto Coruna como DarkSword apuntan a una migración de los ciberataques hacia teléfonos móviles, a medida que estos concentran una porción cada vez mayor del tráfico de internet. El trasfondo es claro: si el teléfono es hoy el centro de la vida digital, también se vuelve el objetivo más rentable.

Otro aspecto llamativo es que DarkSword no parecía diseñado para vigilancia persistente. Según lo descrito por los investigadores y retomado por TechCrunch, el malware operaba más como una herramienta de “golpear y agarrar”, con un tiempo de permanencia de minutos, suficiente para infectar, recolectar datos y desaparecer.

Datos robados, billeteras cripto y objetivos en varios países

Los equipos de investigación concluyeron que DarkSword podía exfiltrar una amplia variedad de datos. Entre ellos figuraban contraseñas guardadas, fotos, mensajes de WhatsApp, Telegram y SMS, historial de navegadores y contenido vinculado con billeteras de criptomonedas populares.

Google identificó tres familias de malware desplegadas después de un compromiso exitoso: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER. En particular, GHOSTBLADE fue descrito como un dataminer escrito en JavaScript capaz de recopilar y exfiltrar una gran diversidad de información hacia servidores controlados por los atacantes a través de HTTP(S).

El uso de funciones orientadas al robo de cripto resulta inusual en campañas asociadas con actores ligados al espionaje estatal. Justin Albrecht, director global de inteligencia de amenazas móviles de Lookout, dijo que hay precedentes de grupos rusos apuntando a criptomonedas en Ucrania, como ocurrió con Infamous Chisel, un kit de explotación para Android desplegado por Sandworm.

Albrecht añadió que UNC6353 parece ser un actor bien financiado y conectado, con operaciones que combinan espionaje y beneficio financiero en alineación con requerimientos de inteligencia rusa. Aun así, Rocky Cole dijo a TechCrunch que no existe evidencia directa de que el grupo estuviera específicamente concentrado en robar criptomonedas, sino que el malware tenía la capacidad de hacerlo.

La campaña observada en Ucrania no habría sido especialmente selectiva a nivel individual. Según Cole, el malware estaba preparado para infectar a cualquier persona que visitara ciertos sitios web ucranianos desde dentro del país, lo que sugiere una operación de watering hole con alcance amplio entre usuarios locales.

Fuera de Ucrania, Google detectó campañas adicionales. A principios de noviembre de 2025, UNC6748 explotó un sitio temático de Snapchat, snapshare[.]chat, para atacar a usuarios sauditas. Más tarde, a finales de noviembre de 2025, la firma turca de vigilancia comercial PARS Defense utilizó DarkSword en campañas en Turquía, con una operación que mostró mayor cuidado en seguridad operativa.

Una cadena técnica compleja, pero con señales de baja experiencia operativa

Lookout explicó que los atacantes comprometían primero WebKit de Apple y luego usaban WebGPU como punto de pivote para escapar del sandbox. Esa combinación permitía avanzar hacia una ejecución más profunda dentro del dispositivo hasta alcanzar la carga útil final.

Pese a esa complejidad, los investigadores observaron señales poco habituales para un actor ruso muy experimentado. Albrecht dijo que ninguno de los códigos JavaScript o HTML estaba ofuscado y que el componente del lado del servidor incluso llevaba la etiqueta “Dark sword file receiver”, una práctica de seguridad operativa pobre para un grupo de alto nivel.

Ese contraste abrió dudas sobre quién construyó realmente la herramienta. Cole indicó que DarkSword se aloja en la misma infraestructura de comando y control que Coruna, aunque aseguró que se trata de un kit completamente separado y desarrollado por personas diferentes.

Google atribuyó las campañas a UNC6353, UNC6748 y al proveedor comercial de vigilancia PARS Defense. Esa combinación respalda la idea de que DarkSword fue adoptado por múltiples clientes o usuarios, más que operado por una sola organización centralizada.

Según los investigadores, la versión usada por PARS Defense exhibía mejor seguridad operativa, con ofuscación en el cargador y en algunas etapas del exploit, además de cifrado ECDH y AES entre el servidor y la víctima. Eso sugiere que distintos usuarios del kit podían modificarlo y endurecerlo según sus necesidades.

Lookout también observó que alguien utilizó un modelo de lenguaje grande para personalizar tanto Coruna como DarkSword. En el servidor de DarkSword encontraron marcas típicas de código generado por IA, con notas detalladas y comentarios característicos de la salida de un LLM. Para Albrecht, esto reduce la barrera de entrada para desplegar exploits móviles avanzados, incluso entre actores patrocinados por el Estado.

El trasfondo geopolítico y el temor a un mercado global de exploits

La mezcla de motivaciones es una de las partes más opacas del caso. Los investigadores ven señales de espionaje, vigilancia, lucro financiero e incluso potencial capacidad para infligir daño. En otras palabras, DarkSword parece una especie de navaja suiza digital que puede adaptarse a objetivos distintos.

Albrecht sugirió que la presión presupuestaria sobre Rusia, en medio de sanciones prolongadas y la guerra en Ucrania, podría ofrecer un incentivo adicional para financiar operaciones con fondos robados. Aclaró que eso no sería impensable, aunque sí marcaría un posible cambio en los TTP de los APT rusos en términos más generales.

Cole planteó otra lectura. A su juicio, una herramienta como esta puede servir para reconstruir el “patrón de vida” de una persona, algo muy útil para vigilancia e inteligencia, aun sin mantener acceso persistente al dispositivo. Ese perfil de uso encaja con operaciones rápidas de extracción y análisis posterior.

La principal alarma, sin embargo, va más allá de un solo actor. La investigación, elaborada por Google Threat Intelligence Group, plantea que la circulación de estas capacidades entre proveedores comerciales y grupos estatales o paraestatales representa un riesgo estructural para la seguridad móvil y los derechos humanos.

En paralelo, CyberScoop reportó que iVerify estimó que hasta 270 millones de usuarios de iPhone podrían haber sido susceptibles, mientras que Lookout indicó que alrededor del 15% de los dispositivos iOS en uso estaban ejecutando iOS 18 o versiones anteriores y podían ser vulnerables al kit. Aunque la campaña observada no alcanzó esa escala global, el dato ilustra el tamaño del riesgo potencial.

El caso también erosiona una percepción frecuente entre usuarios: que el iPhone es, por definición, un entorno inmune a este tipo de amenazas. Lo que muestran DarkSword y Coruna es otra cosa. Los ataques móviles son cada vez más sofisticados, más comercializables y más relevantes para un mundo donde el teléfono concentra identidad, banca, mensajería y acceso a criptoactivos.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados