El kit de exploits DarkSword, diseñado para robar datos de dispositivos iOS, ha sido empleado por varios actores de amenaza desde noviembre de 2025, según reportes de Google Threat Intelligence Group (GTIG), iVerify y Lookout. Estos grupos incluyen tanto proveedores comerciales de vigilancia como presuntos actores patrocinados por estados, en campañas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.
DarkSword es el segundo kit de exploits para iOS descubierto en un mes, después de Coruna. Se enfoca en iPhones con versiones iOS entre 18.4 y 18.7, y ha sido atribuido al grupo de espionaje ruso UNC6353 en ataques contra usuarios ucranianos. UNC6353 también ha sido vinculado al uso de Coruna en ataques similares mediante la inyección de un framework JavaScript en sitios web comprometidos.
Según Lookout, DarkSword extrae una amplia gama de información personal, incluyendo credenciales de dispositivos y datos de aplicaciones de carteras de criptomonedas, lo que sugiere una motivación financiera. El kit adopta un enfoque de 'golpear y huir', recolectando y exfiltrando datos en segundos o minutos, seguido de una limpieza de rastros.
Las cadenas de exploits como Coruna y DarkSword permiten acceso completo al dispositivo de la víctima con mínima o ninguna interacción del usuario. Estos hallazgos revelan un mercado secundario de exploits que permite a grupos con recursos limitados adquirir capacidades de alto nivel para infectar dispositivos móviles.
La cadena de exploits de DarkSword utiliza seis vulnerabilidades diferentes para desplegar tres cargas útiles. Tres de estas vulnerabilidades (CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174) fueron explotadas como zero-days antes de ser parcheadas por Apple. Las vulnerabilidades incluyen fallos de corrupción de memoria en JavaScriptCore, ANGLE, y el kernel de iOS, así como una omisión del Código de Autenticación de Puntero (PAC) en dyld.
- CVE-2025-31277: Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en iOS 18.6)
- CVE-2026-20700: Omisión de PAC en dyld (parcheada en iOS 26.3)
- CVE-2025-43529: Corrupción de memoria en JavaScriptCore (parcheada en 18.7.3 y 26.2)
- CVE-2025-14174: Corrupción de memoria en ANGLE (parcheada en 18.7.3 y 26.2)
- CVE-2025-43510: Vulnerabilidad de gestión de memoria en el kernel de iOS (parcheada en 18.7.2 y 26.1)
- CVE-2025-43520: Corrupción de memoria en el kernel de iOS (parcheada en 18.7.2 y 26.1)
Lookout descubrió DarkSword tras analizar infraestructura maliciosa asociada con UNC6353, identificando que un dominio comprometido alojaba un iFrame malicioso que cargaba un JavaScript para identificar dispositivos iOS y determinar si debían ser redirigidos a la cadena de exploits. El método exacto de infección de los sitios web aún no se conoce.
A diferencia de Coruna, que apuntaba a iOS 13.0 a 17.2.1, DarkSword se enfoca en iOS 18.4 a 18.6.2. El ataque comienza cuando el usuario visita una página web con Safari que contiene el iFrame con JavaScript. DarkSword rompe el sandbox de WebContent, usa WebGPU para inyectar código en mediaplaybackd, y luego despliega el malware GHOSTBLADE para acceder a procesos privilegiados y partes restringidas del sistema de archivos.
Tras escalar privilegios, un módulo orquestador carga componentes adicionales para robar datos sensibles y un payload de exfiltración en Springboard que envía la información a un servidor externo vía HTTP(S). Los datos robados incluyen correos electrónicos, archivos de iCloud Drive, contactos, SMS, historial de Safari, cookies, datos de carteras de criptomonedas, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración WiFi, historial de ubicaciones, calendario, información celular y SIM, lista de aplicaciones instaladas, datos de apps de Apple como Notas y Salud, e historiales de mensajes de Telegram y WhatsApp.
iVerify señaló que la cadena de exploits utiliza vulnerabilidades JIT de JavaScriptCore en Safari (CVE-2025-31277 o CVE-2025-43529) para lograr ejecución remota de código mediante CVE-2026-20700, y luego escapar del sandbox a través del proceso GPU aprovechando CVE-2025-14174 y CVE-2025-43510. Finalmente, la vulnerabilidad del kernel CVE-2025-43520 otorga capacidades de lectura/escritura arbitrarias dentro de mediaplaybackd.
Análisis adicionales revelaron que los archivos JavaScript de DarkSword contienen referencias a iOS 17.4.1 y 17.5.1, lo que sugiere que el kit fue portado de una versión anterior. A diferencia de otros spyware, DarkSword no busca vigilancia persistente; una vez exfiltrados los datos, limpia los archivos y sale, minimizando el tiempo de residencia.
Se sabe poco de UNC6353, excepto que utiliza tanto Coruna como DarkSword en ataques de watering hole a sitios web ucranianos comprometidos. Se cree que el grupo está bien financiado y opera con motivos alineados con los requisitos de inteligencia rusos. Lookout señaló que la falta de ofuscación en el código de DarkSword sugiere que UNC6353 podría no tener recursos sólidos de ingeniería o no preocuparse por medidas de OPSEC.
El uso de DarkSword también se ha vinculado a UNC6748, que atacó a usuarios saudíes en noviembre de 2025 mediante un sitio web temático de Snapchat (snapshare[.]chat) para entregar GHOSTKNIFE, un backdoor JavaScript para robo de información. Además, el proveedor turco de vigilancia PARS Defense usó DarkSword en noviembre de 2025 y enero de 2026 en campañas contra Turquía y Malasia para entregar GHOSTSABER, otro backdoor JavaScript que permite enumeración de dispositivos, listado de archivos, exfiltración de datos y ejecución de código arbitrario.
Google indicó que el uso observado de DarkSword por UNC6353 en diciembre de 2025 solo soportaba iOS 18.4 a 18.6, mientras que las versiones atribuidas a UNC6748 y PARS Defense también apuntaban a iOS 18.7. iVerify destacó que estos ataques de watering hole afectan potencialmente a cientos de millones de dispositivos sin parchear con iOS entre 13 y 18.6.2, y plantean preguntas sobre el tamaño del mercado de exploits para iOS y su accesibilidad para actores con motivaciones financieras.
