(https://www.bleepstatic.com/content/hl-images/2025/09/11/Apple.jpg)
Se ha utilizado un nuevo kit de exploits para dispositivos iOS —junto con un marco de distribución— denominado «DarkSword» para sustraer una amplia gama de información personal, incluidos datos procedentes de aplicaciones de monederos de criptomonedas.
DarkSword tiene como objetivo los iPhones que ejecutan versiones de iOS comprendidas entre la 18.4 y la 18.7, y está vinculado a múltiples actores, entre ellos UNC6353 —de quien se sospecha que es de origen ruso—, el cual utilizó la cadena de exploits Coruna, revelada a principios de este mes.
Investigadores de la empresa de seguridad móvil Lookout descubrieron DarkSword mientras investigaban la infraestructura empleada para los ataques de Coruna. El Grupo de Inteligencia de Amenazas de Google e iVerify también colaboraron para realizar un análisis más exhaustivo de esta amenaza, hasta entonces desconocida, así como de los adversarios que la están aprovechando.
Los hallazgos de iVerify indican que todas las vulnerabilidades (escape del entorno aislado o *sandbox*, escalada de privilegios y ejecución remota de código) explotadas en esta cadena de ataques son ya conocidas o se encuentran documentadas; asimismo, Apple ya ha corregido dichos fallos en las últimas versiones de iOS.
El kit de exploits DarkSword utiliza seis vulnerabilidades, catalogadas bajo los identificadores CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 y CVE-2025-43520.
Cargando el script de exploit adecuado en función de la versión de iOS detectada
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/iosversion.jpg)
Ataques de DarkSword
En un informe publicado, el Grupo de Inteligencia de Amenazas de Google (GTIG) afirma que DarkSword ha sido utilizado desde al menos noviembre de 2025 por varios actores de amenazas, quienes desplegaron tres familias de malware distintas:
GHOSTBLADE: un extractor de datos en JavaScript que roba una gran cantidad de información, incluyendo datos de billeteras de criptomonedas, información del sistema y de conectividad, historial de navegación, fotos, datos de ubicación y movilidad, y datos de comunicación de iMessage, Telegram, WhatsApp, correo electrónico, llamadas y contactos.
GHOSTKNIFE: una puerta trasera (*backdoor*) capaz de exfiltrar diversos tipos de datos (cuentas con sesión iniciada, mensajes, datos del navegador, historial de ubicaciones, grabaciones).
GHOSTSABER: una puerta trasera en JavaScript capaz de enumerar dispositivos y cuentas, listar archivos, ejecutar código JavaScript y robar datos.
El primer adversario observado utilizando esta cadena de *exploits* es UNC6748, en ataques dirigidos a usuarios de Arabia Saudita a través de un sitio web que suplantaba la identidad de Snapchat.
El GTIG señala que, a finales de noviembre de 2025, DarkSword fue utilizado en Turquía, en una actividad asociada con PARS Defense —un proveedor turco de vigilancia comercial— sobre dispositivos que ejecutaban las versiones 18.4 a 18.7 de iOS.
"A diferencia de la actividad de UNC6748, esta campaña se llevó a cabo prestando mayor atención a la seguridad operativa (OPSEC), aplicando ofuscación al cargador del *exploit* y a algunas de sus etapas, y utilizando ECDH y AES para cifrar los *exploits* durante su transmisión entre el servidor y la víctima", apunta el GTIG.
A principios de este año, los investigadores de Google detectaron el uso de DarkSword en Malasia por parte de otro cliente de PARS Defense que desplegaba la puerta trasera GHOSTSABER.
UNC6353, un actor sospechoso de espionaje ruso, ha estado utilizando el kit de *exploits* Coruna desde el verano pasado y, en diciembre de 2025, comenzó a aprovechar los *exploits* de DarkSword contra objetivos ucranianos.
Esta actividad se prolongó hasta marzo de 2026 mediante ataques de tipo "watering hole" (abrevadero), en los que se utilizaron sitios web comprometidos para desplegar el malware GHOSTBLADE con el fin de exfiltrar datos de los objetivos afectados.
Una observación realizada por los investigadores de Google es que, si bien "el uso anterior de DarkSword atribuido a UNC6748 y a PARS Defense también era compatible con la versión 18.7 de iOS, no observamos dicha compatibilidad en el caso de UNC6353, a pesar de que su cronología operativa fue posterior".
Actores que utilizan el kit de exploits DarkSword para iOS
(https://www.bleepstatic.com/images/news/u/1100723/darksword-ios-exploit-chain-users.jpg)
Según los investigadores de Lookout, tanto Coruna como DarkSword presentan indicios de una expansión de su base de código realizada con la asistencia de modelos de lenguaje grandes (LLM). Esto resulta particularmente evidente en el caso de DarkSword, el cual contiene múltiples comentarios que explican la funcionalidad del código.
«Este malware es sumamente sofisticado y parece constituir una plataforma diseñada profesionalmente que facilita el desarrollo rápido de módulos mediante el acceso a un lenguaje de programación de alto nivel», afirma Lookout.
«Este paso adicional pone de manifiesto el considerable esfuerzo invertido en el desarrollo de este malware, prestando especial atención a aspectos como la mantenibilidad, el desarrollo a largo plazo y la extensibilidad».
Cadena de distribución de DarkSword
Además del kit de exploits DarkSword de «un solo clic», iVerify también detectó un exploit dirigido a Safari que incluía «técnicas de evasión de la sandbox, escalada de privilegios e implantes en memoria», el cual sustraía datos confidenciales de los dispositivos afectados.
Los ataques de DarkSword se inician en el navegador Safari, donde se emplean múltiples exploits para obtener acceso de lectura y escritura al kernel y, posteriormente, ejecutar código a través de un componente orquestador principal (pe_main.js).
Se desconoce cómo fueron comprometidos inicialmente los sitios web que lanzaron estos ataques; no obstante, los actores de la amenaza contaban con los permisos suficientes para inyectar iframes maliciosos en el código HTML de dichos sitios.
iframe malicioso en un sitio web del gobierno ucraniano
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/iframe.jpg)
El orquestador inyecta un motor JavaScript en servicios privilegiados de iOS —tales como Acceso a aplicaciones, Wi-Fi, Springboard, el Llavero (Keychain) e iCloud— y, posteriormente, activa módulos de robo de datos (por ejemplo, GHOSTBLADE) que recopilan la siguiente información:
Contraseñas guardadas
Fotos, incluidas capturas de pantalla y archivos de imagen ocultos
Bases de datos de WhatsApp y Telegram
Carteras de criptomonedas (Coinbase, Binance, Ledger y otras)
Mensajes de texto (SMS)
Libreta de direcciones
Historial de llamadas
Historial de ubicaciones
Historial de navegación
Cookies
Historial y contraseñas de Wi-Fi
Datos de Apple Health
Calendario
Notas
Aplicaciones instaladas
Cuentas conectadas
Cabe destacar que DarkSword elimina los archivos temporales y finaliza su ejecución una vez que la información mencionada ha sido exfiltrada hacia los actores de la amenaza, lo que indica que no fue diseñado para operaciones de vigilancia a largo plazo.
Lookout estima que DarkSword es utilizado por un actor de amenazas ruso con objetivos financieros, el cual también lleva a cabo actividades de espionaje alineadas con los requisitos de la inteligencia rusa.
Se recomienda a los usuarios de iPhone actualizar sus dispositivos a la última versión de iOS. Asimismo, los dispositivos que tengan activada la protección del «Modo de aislamiento» (Lockdown Mode) se encuentran a salvo tanto de Coruna como de los kits de explotación de DarkSword.
En un comunicado, Apple informó que las correcciones de seguridad para ambas amenazas fueron lanzadas el año pasado, señalando además que dichas soluciones se han extendido también a modelos más antiguos de iPhone y iPad.
Un representante de la compañía confirmó que los usuarios que ejecutan las versiones más recientes de iOS —desde iOS 15 hasta iOS 26— ya se encuentran protegidos. Además, Apple afirma que los dispositivos que ejecutan iOS 17 y versiones posteriores estaban protegidos contra estos ataques gracias a la función de seguridad «Aplicación de integridad de la memoria» (Memory Integrity Enforcement).
Además de instalar las últimas actualizaciones, se recomienda a los usuarios de iOS proteger sus dispositivos mediante un código de acceso, activar la autenticación de dos factores y establecer una contraseña robusta para sus cuentas de Apple, así como evitar la instalación de aplicaciones fuera de la App Store.
Como recomendación general, no se debe hacer clic en enlaces ni abrir archivos adjuntos provenientes de remitentes desconocidos.
Actualización [18 de marzo, 11:39]: Artículo actualizado con información del Grupo de Inteligencia de Amenazas de Google (Google Threat Intelligence Group) relativa al kit de explotación DarkSide; dicha información fue facilitada a BleepingComputer con posterioridad a la hora de publicación original.
Actualización [20 de marzo]: Se han añadido comentarios de Apple sobre las medidas de protección frente a los kits de explotación Coruna y DarkSword.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-darksword-ios-exploit-used-in-infostealer-attack-on-iphones/