Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli esperti di Lookout , iVerify e del Google Threat Intelligence Group (GTIG) hanno scoperto un nuovo exploit kit per iOS, chiamato DarkSword.
DarkSword sfrutta sei vulnerabilità: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520.
Tutte queste vulnerabilità sono state corrette nelle ultime versioni di iOS, ma iVerify stima che circa il 14,2% degli iPhone (circa 221,5 milioni di dispositivi) utilizzi ancora versioni vulnerabili. Se le vulnerabilità interessassero tutte le build di iOS 18, il numero di dispositivi potenzialmente coinvolti potrebbe raggiungere i 296 milioni.
Prende di mira gli iPhone con iOS versione 18.4-18.7 e consente di compromettere completamente il dispositivo con un’interazione minima da parte dell’utente.
I ricercatori collegano l‘exploit kit a Coruna , un’altra potente piattaforma di exploit per iOS rivelata da Google e iVerify all’inizio di questo mese. DarkSword condivide la stessa infrastruttura con Coruna e sembra far parte dello stesso arsenale.
L’attacco DarkSword inizia in Safari, sfruttando dapprima le vulnerabilità del JIT per effettuare letture e scritture arbitrarie nella memoria, per poi aggirare le protezioni TPRO e PAC, uscire dalla sandbox tramite una vulnerabilità in ANGLE e, infine, ottenere privilegi elevati a livello del kernel XNU.
L’exploit kit è scritto interamente in JavaScript. Il componente orchestratore principale inietta il runtime JavaScript nei servizi iOS privilegiati (Accesso app, Wi-Fi, Springboard, Portachiavi e iCloud), attivando così i moduli di raccolta dati.
L’elenco delle informazioni rubate dal malware è lungo: password, foto, database di WhatsApp e Telegram, messaggi SMS, contatti, cronologia delle chiamate e del browser, cookie, dati di Apple Health, note, calendario, password Wi-Fi e, cosa importante, portafogli di criptovalute (Coinbase, Binance, Ledger e altri). Dopo aver esfiltrato i dati dal dispositivo, DarkSword elimina i file temporanei e termina, il che significa che lo strumento non è chiaramente progettato per la sorveglianza a lungo termine.
Secondo i ricercatori del GTIG, DarkSword è stato utilizzato in attacchi almeno dal novembre 2025. È stato impiegato per la prima volta dal gruppo UNC6748 in attacchi contro utenti in Arabia Saudita tramite un sito web Snapchat fasullo. L’exploit kit è stato poi utilizzato dal fornitore turco di spyware PARS Defense in operazioni contro utenti in Turchia e Malesia.
A partire da dicembre 2025, il gruppo UNC6353 ha adottato DarkSword. Gli aggressori hanno condotto attacchi di tipo “watering hole” contro obiettivi ucraini, iniettando iframe dannosi in siti web legittimi (tra le risorse compromesse figurano l’agenzia di stampa Novosti Donbassa e il sito ufficiale della Settima Corte Amministrativa d’Appello di Vinnytsia).
I ricercatori hanno identificato tre famiglie di malware distribuite tramite DarkSword: GHOSTBLADE (un infostealer basato su JavaScript), GHOSTKNIFE (una backdoor con ampie capacità di furto di dati) e GHOSTSABER (una backdoor JavaScript con capacità di esfiltrazione di informazioni ed esecuzione di codice).
Il gruppo UNC6353, di cui si è parlato in precedenza, ha utilizzato GHOSTBLADE, un malware privo di backdoor ma in grado di rubare criptovalute. Questo ha portato i ricercatori di Lookout a ritenere che UNC6353 possa perseguire non solo obiettivi di intelligence, ma anche finanziari.
Gli esperti hanno inoltre notato che sia Coruna che DarkSword mostrano segni di utilizzo di LLM nel loro sviluppo; in particolare, il codice di DarkSword contiene numerosi commenti dettagliati che spiegano il funzionamento dei singoli componenti.
Lookout descrive DarkSword come una “piattaforma progettata professionalmente”, pensata per lo sviluppo a lungo termine e la rapida espansione dei moduli.
Si consiglia agli utenti iPhone di aggiornare a iOS 26.3.1 o 18.7.6, le versioni più recenti che correggono tutte le vulnerabilità sfruttate da DarkSword.
