Según informes del **Google Threat Intelligence Group** (GTIG), **iVerify** y **Lookout**, **DarkSword** ha sido aprovechado en campañas dirigidas a **Arabia Saudita**, **Turquía**, **Malasia** y **Ucrania** desde al menos noviembre de 2025. Se cree que varios proveedores comerciales de vigilancia y presuntos actores patrocinados por estados están involucrados. ### DarkSword vs. Coruna La aparición de **DarkSword** marca el segundo kit de exploits para iOS descubierto en tiempos recientes, después de **Coruna**. A diferencia de **Coruna**, que apuntaba a versiones más antiguas de iOS, **DarkSword** se enfoca en iPhones que ejecutan versiones de iOS entre 18.4 y 18.7. Se ha relacionado con un presunto grupo de espionaje ruso llamado UNC6353, que también está asociado con el uso de **Coruna** en ataques contra usuarios ucranianos. ### Amenaza con Motivación Financiera "**DarkSword** tiene como objetivo extraer un extenso conjunto de información personal, incluyendo credenciales del dispositivo y apunta específicamente a una gran cantidad de aplicaciones de billeteras de criptomonedas, lo que sugiere un actor de amenazas con motivación financiera", declaró **Lookout**. La rápida exfiltración de datos y el proceso de limpieza del kit lo distinguen aún más del spyware tradicional. ### Detalles de la Cadena de Exploits Al igual que **Coruna**, **DarkSword** emplea una cadena de exploits para obtener acceso completo al dispositivo de una víctima con mínima interacción del usuario. Esto resalta el creciente mercado de exploits, que permite a los grupos de amenazas con recursos limitados adquirir herramientas sofisticadas. GTIG enfatiza el riesgo continuo de proliferación de exploits entre diversos actores. La cadena de exploits de **DarkSword** utiliza seis vulnerabilidades diferentes, incluyendo tres zero-days en el momento de su descubrimiento: * **CVE-2025-31277** - Vulnerabilidad de corrupción de memoria en JavaScriptCore (Corregida en la versión 18.6) * **CVE-2026-20700** - Bypass de código de autenticación de puntero en modo de usuario (PAC) en dyld (Corregida en la versión 26.3) * **CVE-2025-43529** - Vulnerabilidad de corrupción de memoria en JavaScriptCore (Corregida en las versiones 18.7.3 y 26.2) * **CVE-2025-14174** - Vulnerabilidad de corrupción de memoria en ANGLE (Corregida en las versiones 18.7.3 y 26.2) * **CVE-2025-43510** - Vulnerabilidad de gestión de memoria en el kernel de iOS (Corregida en las versiones 18.7.2 y 26.1) * **CVE-2025-43520** - Vulnerabilidad de corrupción de memoria en el kernel de iOS (Corregida en las versiones 18.7.2 y 26.1) ### Vector de Infección y Exfiltración de Datos **Lookout** descubrió **DarkSword** a través del análisis de infraestructura maliciosa vinculada a UNC6353. Dominios comprometidos alojaban iFrames maliciosos que identificaban dispositivos y redirigían a los objetivos a la cadena de exploits de iOS. El método específico de infección del sitio web sigue siendo desconocido.  El código JavaScript apunta a dispositivos iOS que ejecutan versiones entre 18.4 y 18.6.2. Una vez lanzado, **DarkSword** evade el sandbox de WebContent y utiliza WebGPU para inyectarse en mediaplaybackd, un demonio del sistema para la reproducción de medios. Esto permite que el malware dataminer, GHOSTBLADE, acceda a procesos privilegiados y partes restringidas del sistema de archivos. Luego carga componentes adicionales para recolectar datos sensibles e inyecta un payload de exfiltración en Springboard para enviar información a un servidor externo a través de HTTP(S). ### Datos Atacados El exploit apunta a una amplia gama de datos, incluyendo: * Correos electrónicos * Archivos de iCloud Drive * Contactos * Mensajes SMS * Historial de navegación y cookies de Safari * Datos de billeteras y exchanges de criptomonedas * Nombres de usuario y contraseñas * Fotos * Historial de llamadas * Configuración y contraseñas de Wi-Fi * Historial de ubicación * Datos del calendario * Información celular y de SIM * Lista de aplicaciones instaladas * Datos de aplicaciones de Apple como Notas y Salud * Historiales de mensajes de aplicaciones como Telegram y WhatsApp  ### Análisis Técnico El análisis de **iVerify** indica que **DarkSword** explota vulnerabilidades de JavaScriptCore JIT (CVE-2025-31277 o CVE-2025-43529) para la ejecución remota de código a través de CVE-2026-20700. Luego, escapa del sandbox a través del proceso de GPU utilizando CVE-2025-14174 y CVE-2025-43510. Una falla de escalada de privilegios del kernel (**CVE-2025-43520**) otorga capacidades de lectura/escritura arbitrarias y de llamada a funciones dentro de mediaplaybackd, permitiendo la ejecución de código JavaScript inyectado. **Lookout** describe el malware como una plataforma sofisticada y diseñada profesionalmente, con la mantenibilidad, el desarrollo a largo plazo y la extensibilidad en mente. ### Portado de Versiones Anteriores El análisis de los archivos JavaScript de **DarkSword** revela referencias a las versiones de iOS 17.4.1 y 17.5.1, lo que sugiere una adaptación de una versión anterior dirigida a sistemas operativos más antiguos. A diferencia de las herramientas de vigilancia persistente, **DarkSword** se enfoca en el robo rápido de datos, lo que destaca el panorama cambiante de las amenazas para iOS.