Tutte queste vulnerabilità sono state corrette nelle ultime versioni di iOS, ma iVerify stima che circa il 14,2% degli iPhone (circa 221,5 milioni di dispositivi) utilizzi ancora versioni vulnerabili. Se le vulnerabilità interessassero tutte le build di iOS 18, il numero di dispositivi potenzialmente coinvolti potrebbe raggiungere i 296 milioni.
Advertising
Prende di mira gli iPhone con iOS versione 18.4-18.7 e consente di compromettere completamente il dispositivo con un’interazione minima da parte dell’utente.
I ricercatori collegano l‘exploit kit a Coruna , un’altra potente piattaforma di exploit per iOS rivelata da Google e iVerify all’inizio di questo mese. DarkSword condivide la stessa infrastruttura con Coruna e sembra far parte dello stesso arsenale.
L’attacco DarkSword inizia in Safari, sfruttando dapprima le vulnerabilità del JIT per effettuare letture e scritture arbitrarie nella memoria, per poi aggirare le protezioni TPRO e PAC, uscire dalla sandbox tramite una vulnerabilità in ANGLE e, infine, ottenere privilegi elevati a livello del kernel XNU.
L’exploit kit è scritto interamente in JavaScript. Il componente orchestratore principale inietta il runtime JavaScript nei servizi iOS privilegiati (Accesso app, Wi-Fi, Springboard, Portachiavi e iCloud), attivando così i moduli di raccolta dati.
L’elenco delle informazioni rubate dal malware è lungo: password, foto, database di WhatsApp e Telegram, messaggi SMS, contatti, cronologia delle chiamate e del browser, cookie, dati di Apple Health, note, calendario, password Wi-Fi e, cosa importante, portafogli di criptovalute (Coinbase, Binance, Ledger e altri). Dopo aver esfiltrato i dati dal dispositivo, DarkSword elimina i file temporanei e termina, il che significa che lo strumento non è chiaramente progettato per la sorveglianza a lungo termine.
Advertising
Secondo i ricercatori del GTIG, DarkSword è stato utilizzato in attacchi almeno dal novembre 2025. È stato impiegato per la prima volta dal gruppo UNC6748 in attacchi contro utenti in Arabia Saudita tramite un sito web Snapchat fasullo. L’exploit kit è stato poi utilizzato dal fornitore turco di spyware PARS Defense in operazioni contro utenti in Turchia e Malesia.
A partire da dicembre 2025, il gruppo UNC6353 ha adottato DarkSword. Gli aggressori hanno condotto attacchi di tipo “watering hole” contro obiettivi ucraini, iniettando iframe dannosi in siti web legittimi (tra le risorse compromesse figurano l’agenzia di stampa Novosti Donbassa e il sito ufficiale della Settima Corte Amministrativa d’Appello di Vinnytsia).
I ricercatori hanno identificato tre famiglie di malware distribuite tramite DarkSword: GHOSTBLADE (un infostealer basato su JavaScript), GHOSTKNIFE (una backdoor con ampie capacità di furto di dati) e GHOSTSABER (una backdoor JavaScript con capacità di esfiltrazione di informazioni ed esecuzione di codice).
Il gruppo UNC6353, di cui si è parlato in precedenza, ha utilizzato GHOSTBLADE, un malware privo di backdoor ma in grado di rubare criptovalute. Questo ha portato i ricercatori di Lookout a ritenere che UNC6353 possa perseguire non solo obiettivi di intelligence, ma anche finanziari.
Gli esperti hanno inoltre notato che sia Coruna che DarkSword mostrano segni di utilizzo di LLM nel loro sviluppo; in particolare, il codice di DarkSword contiene numerosi commenti dettagliati che spiegano il funzionamento dei singoli componenti.
Lookout descrive DarkSword come una “piattaforma progettata professionalmente”, pensata per lo sviluppo a lungo termine e la rapida espansione dei moduli.
Si consiglia agli utenti iPhone di aggiornare a iOS 26.3.1 o 18.7.6, le versioni più recenti che correggono tutte le vulnerabilità sfruttate da DarkSword.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.