Varios actores de amenazas utilizan un nuevo kit de exploits para dispositivos iOS de Apple diseñado para robar datos confidenciales desde al menos noviembre de 2025, según informes de Grupo de inteligencia de amenazas de Google (TIG), iVerify , y Vigía .

Según GTIG, varios proveedores de vigilancia comercial y presuntos actores patrocinados por el estado han utilizado el kit de exploits de cadena completa, con nombre en código Espada oscura , en distintas campañas dirigidas a Arabia Saudí, Turquía, Malasia y Ucrania.

El descubrimiento de DarkSword lo convierte en el segundo kit de exploits de iOS, después de Coruña , que se descubrirá en el lapso de un mes. El kit está diseñado para iPhones con versiones de iOS entre iOS 18.4 y 18.7, y se dice que fue utilizado por un supuesto grupo de espionaje ruso llamado UNC6353 para atacar a usuarios ucranianos.

Vale la pena señalar que la UNC6353 también se ha relacionado con el uso de La Coruña en ataques dirigidos a ucranianos al inyectar el marco JavaScript en sitios web comprometidos.

«DarkSword tiene como objetivo extraer un amplio conjunto de información personal, incluidas las credenciales del dispositivo, y se dirige específicamente a una gran cantidad de aplicaciones de monederos criptográficos, lo que sugiere que se trata de un actor de amenazas con motivaciones financieras», dijo Lookout. «En particular, DarkSword parece adoptar un enfoque de «atropello y fuga», ya que recopila y filtra los datos objetivo del dispositivo en cuestión de segundos o, como máximo, minutos, y luego los limpia».

Las cadenas de exploits como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de la víctima con poca o ninguna interacción por parte del usuario. Los resultados muestran una vez más que existe un mercado de exploits de segunda mano que permite a los grupos de amenazas con recursos y objetivos limitados, no necesariamente relacionados con el ciberespionaje, adquirir «exploits de primera línea» y utilizarlos para infectar dispositivos móviles.

adsense

«El uso de DarkSword y Coruña por parte de una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diferentes geografías y motivaciones», dijo GTIG.

La cadena de exploits vinculada al kit recién descubierto utiliza seis vulnerabilidades diferentes para implementar tres cargas útiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 se explotaron como de día cero, antes de que Apple las parcheara:

  • CVE-2025-31277 - Vulnerabilidad de corrupción de memoria en JavascriptCore (parcheada en la versión 18.6)
  • CVE-2026-20700 - Omisión del código de autenticación de puntero (PAC) en modo de usuario en dyld (parcheado en la versión 26.3)
  • CVE-2025-43529 - Vulnerabilidad de corrupción de memoria en JavascriptCore (parcheada en las versiones 18.7.3 y 26.2)
  • CVE-2025-14174 - Vulnerabilidad de corrupción de memoria en ANGLE (parcheada en las versiones 18.7.3 y 26.2)
  • CVE-2025-43510 - Vulnerabilidad de administración de memoria en el kernel de iOS (parcheada en las versiones 18.7.2 y 26.1)
  • CVE-2025-43520 - Vulnerabilidad de corrupción de memoria en el kernel de iOS (parcheada en las versiones 18.7.2 y 26.1)

Lookout dijo que descubrió DarkSword tras analizar la infraestructura maliciosa asociada a la UNC6353, e identificar que uno de los dominios comprometidos alojaba un elemento iFrame malicioso que es responsable de cargar un JavaScript para tomar huellas dactilares de los dispositivos que visitan el sitio y determinar si el objetivo debe dirigirse a la cadena de exploits de iOS. Actualmente se desconoce el método exacto por el que se infectan los sitios web.

Lo que hizo que esto fuera notable fue que JavaScript buscaba específicamente dispositivos iOS que ejecutaran versiones entre la 18.4 y la 18.6.2, a diferencia de Coruña, que apuntaba a versiones anteriores de iOS de la 13.0 a la 17.2.1.

«DarkSword es una cadena completa de exploits y robo de información escrita en JavaScript», explica Lookout. «Aprovecha múltiples vulnerabilidades para establecer la ejecución privilegiada de código con el fin de acceder a información confidencial y eliminarla del dispositivo».

Como es el caso de Coruña, la cadena de ataque comienza cuando un usuario visita a través de Safari una página web que incorpora el iFrame que contiene JavaScript. Una vez lanzado, DarkSword es capaz de romper los límites del entorno limitado de WebContent (también conocido como el proceso de renderizado de Safari) y aprovechar WebGPU para inyectarlo en reproducciones multimedia , un daemon de sistema introducido por Apple para gestionar las funciones de reproducción multimedia.

Esto, a su vez, permite que el malware dataminer, denominado GHOSTBLADE, acceda a procesos privilegiados y partes restringidas del sistema de archivos. Tras una escalada de privilegios exitosa, se utiliza un módulo de Orchestrator para cargar componentes adicionales diseñados para recopilar datos confidenciales, así como para inyectar una carga útil de exfiltración en Springboard para transferir la información por etapas a un servidor externo a través de HTTP (S).

Esto incluye correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación y cookies de Safari, datos de monederos y bolsas de criptomonedas, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración y contraseñas de Wi-Fi WiFi, historial de ubicaciones, calendario, información de datos móviles y SIM, lista de aplicaciones instaladas, datos de aplicaciones de Apple como Notas y Salud e historiales de mensajes de aplicaciones como Telegram y WhatsApp.

iVerify, en su propio análisis de DarkSword, dijo que la cadena de exploits convierte en arma las vulnerabilidades JIT de JavaScriptCore en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529) basadas en la versión de iOS para lograr la ejecución remota de código a través del CVE-2026-20700 y, luego, escapar del sandbox a través del proceso de la GPU aprovechando los CVE-2025-14174 y CVE-2025-43510.

En la etapa final, se aprovecha una falla de escalamiento de privilegios del kernel (CVE-2025-43520) para obtener capacidades arbitrarias de lectura/escritura y llamada a funciones arbitrarias dentro de mediaplaybackd y, en última instancia, ejecutar el código JavaScript inyectado.

«Este malware es muy sofisticado y parece ser una plataforma diseñada profesionalmente que permite el rápido desarrollo de módulos mediante el acceso a un lenguaje de programación de alto nivel», afirma Lookout. «Este paso adicional demuestra el importante esfuerzo que se ha realizado para desarrollar este malware, teniendo en cuenta la capacidad de mantenimiento, el desarrollo a largo plazo y la extensibilidad».

Se ha descubierto que un análisis más detallado de los archivos JavaScript utilizados en DarkSword contiene referencias a las versiones 17.4.1 y 17.5.1 de iOS, lo que indica que el kit fue portado de una versión anterior dirigida a versiones anteriores del sistema operativo.

Otro aspecto que diferencia a DarkSword de otros programas espía es que no está diseñado para la vigilancia persistente y la recopilación de datos. En otras palabras, una vez que se completa la filtración de datos, el malware toma medidas para limpiar los archivos almacenados y los cierra. El objetivo final, señaló Lookout, es minimizar el tiempo de permanencia y filtrar los datos que identifica lo más rápido posible.

Se sabe muy poco sobre la UNC6353, aparte de su uso tanto de Coruna como de DarkSword mediante ataques a sitios web ucranianos comprometidos. Esto indica que es probable que el grupo de hackers esté bien financiado para proteger cadenas de exploits de iOS de alta calidad que probablemente estén desarrolladas para la vigilancia comercial. Se estima que el UNC6353 es un agente de amenazas técnicamente menos sofisticado que opera con motivos alineados con los requisitos de inteligencia rusos.

enlaces

«Dado que tanto Coruña como DarkSword tienen la capacidad de robar criptomonedas y recopilar información de inteligencia, debemos considerar la posibilidad de que la UNC6353 sea un grupo corsario respaldado por Rusia o un actor de amenazas por poderes delictivos», dijo Lookout.

«La falta total de ofuscación en el código de DarkSword, la falta de ofuscación en el HTML de los iframes y el hecho de que el receptor de archivos de DarkSword tenga un diseño tan sencillo y un nombre tan obvio nos llevan a creer que la UNC6353 puede no tener acceso a sólidos recursos de ingeniería o, por el contrario, no le preocupa tomar las medidas OPSEC adecuadas».

El uso de DarkSword también se ha relacionado con otros dos actores de amenazas:

  • UNC6748 , dirigida a usuarios saudíes en noviembre de 2025 mediante un sitio web con temática de Snapchat, snapshare [.] chat, que aprovechaba la cadena de exploits para crear GHOSTKNIFE, una puerta trasera de JavaScript capaz de robar información.
  • Actividad asociada con un proveedor de vigilancia comercial turco Defensa PARS que usó DarkSword en noviembre de 2025 para ofrecer GHOSTSABER, una puerta trasera de JavaScript que se comunica con un servidor externo para facilitar la enumeración de dispositivos y cuentas, la lista de archivos, la exfiltración de datos y la ejecución de código JavaScript arbitrario.

Google dijo que el uso observado de DarkSword en la UNC6353 en diciembre de 2025 solo era compatible con las versiones de iOS de la 18.4 a la 18.6, mientras que el atribuido a UNC6748 y PARS Defense también se dirigía a los dispositivos iOS que ejecutaban la versión 18.7.

«Por segunda vez en un mes, los actores de amenazas han empleado ataques a pozos de agua para atacar a los usuarios de iPhone», afirma iVerify. «Cabe destacar que ninguno de estos ataques fue dirigido de forma individual. Ahora es probable que los ataques combinados afecten a cientos de millones de dispositivos sin parches que ejecutan versiones de iOS de la 13 a la 18.6.2».

«En ambos casos, las herramientas se descubrieron debido a importantes fallos de seguridad operativa (OPSEC) y a un descuido en el despliegue de las capacidades ofensivas de iOS. Estos acontecimientos recientes suscitan varias preguntas clave: ¿hasta qué punto es grande y qué tan bien equipado está el mercado de los exploits de un día para cero y un día para los dispositivos iOS? ¿Hasta qué punto son accesibles unas capacidades tan poderosas para los actores con motivaciones financieras?»

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.