DarkSword para iOS: kit de exploits utiliza 6 vulnerabilidades, 3 de día cero, para el control total del dispositivo.
h0ax 
Un nuevo kit de explotación para dispositivos Apple iOS diseñado para robar datos sensibles está siendo utilizado por múltiples actores de amenazas desde al menos noviembre de 2025, según informes del Google Threat Intelligence Group, iVerify y Lookout.
Según GTIG, varios proveedores comerciales de vigilancia y actores sospechosos respaldados por estados han utilizado el kit completo de explotación, con nombre en clave DarkSword, en campañas distintas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.
El descubrimiento de DarkSword lo convierte en el segundo kit de explotación para iOS, después de Coruna, en ser identificado en el lapso de un mes. El kit está diseñado para atacar iPhones que ejecutan versiones de iOS entre 18.4 y 18.7, y se dice que ha sido desplegado por un supuesto grupo de espionaje ruso llamado UNC6353 en ataques dirigidos a usuarios ucranianos.
Cabe destacar que UNC6353 también ha sido vinculado al uso de Coruna en ataques contra ucranianos mediante la inyección de un framework de JavaScript en sitios web comprometidos.
“DarkSword tiene como objetivo extraer un amplio conjunto de información personal, incluidas credenciales del dispositivo, y apunta específicamente a una gran cantidad de aplicaciones de billeteras de criptomonedas, lo que sugiere un actor de amenazas con motivación financiera”, dijo Lookout. “Notablemente, DarkSword parece adoptar un enfoque de ‘golpear y huir’, recolectando y exfiltrando los datos objetivo del dispositivo en segundos o, como máximo, en minutos, seguido de una limpieza”.
Cadenas de explotación como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de una víctima con poca o ninguna interacción por parte del usuario. Los hallazgos muestran una vez más que existe un mercado secundario de exploits que permite a grupos con recursos limitados y objetivos que no necesariamente están alineados con el ciberespionaje adquirir “exploits de primer nivel” y utilizarlos para infectar dispositivos móviles.
“El uso tanto de DarkSword como de Coruna por una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diferentes geografías y motivaciones”, señaló GTIG.
La cadena de explotación asociada al kit recientemente descubierto utiliza seis vulnerabilidades diferentes para desplegar tres cargas útiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotadas como zero-days, antes de ser corregidas por Apple.
- CVE-2025-31277 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (corregida en la versión 18.6)
- CVE-2026-20700 – Bypass del código de autenticación de punteros (PAC) en modo usuario en dyld (corregido en la versión 26.3)
- CVE-2025-43529 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (corregida en las versiones 18.7.3 y 26.2)
- CVE-2025-14174 – Vulnerabilidad de corrupción de memoria en ANGLE (corregida en las versiones 18.7.3 y 26.2)
- CVE-2025-43510 – Vulnerabilidad de gestión de memoria en el kernel de iOS (corregida en las versiones 18.7.2 y 26.1)
- CVE-2025-43520 – Vulnerabilidad de corrupción de memoria en el kernel de iOS (corregida en las versiones 18.7.2 y 26.1)
Lookout afirmó que descubrió DarkSword tras analizar la infraestructura maliciosa asociada con UNC6353, identificando que uno de los dominios comprometidos alojaba un elemento iFrame malicioso encargado de cargar un JavaScript para identificar (fingerprint) los dispositivos que visitan el sitio y determinar si el objetivo debe ser redirigido a la cadena de explotación de iOS. El método exacto mediante el cual los sitios web son infectados actualmente se desconoce.
Lo que hizo que esto fuera notable es que el JavaScript buscaba específicamente dispositivos de iOS que ejecutaran versiones entre 18.4 y 18.6.2, a diferencia de Coruna, que apuntaba a versiones más antiguas de iOS desde la 13.0 hasta la 17.2.1.
“DarkSword es una cadena completa de explotación y un infostealer escrito en JavaScript”, explicó Lookout. “Aprovecha múltiples vulnerabilidades para establecer ejecución de código con privilegios, acceder a información sensible y exfiltrarla fuera del dispositivo”.
Al igual que ocurre con Coruna, la cadena de ataque comienza cuando un usuario visita, a través de Safari, una página web que contiene un iFrame con JavaScript. Una vez activado, DarkSword es capaz de romper las restricciones del sandbox de WebContent (también conocido como el proceso de renderizado de Safari) y utilizar WebGPU para inyectarse en mediaplaybackd, un daemon del sistema introducido por Apple para gestionar la reproducción multimedia.
Esto, a su vez, permite que el malware recolector de datos —denominado GHOSTBLADE— obtenga acceso a procesos privilegiados y a partes restringidas del sistema de archivos. Tras una escalada de privilegios exitosa, se utiliza un módulo orquestador para cargar componentes adicionales diseñados para recolectar datos sensibles, así como para inyectar una carga de exfiltración en SpringBoard, con el fin de enviar la información recopilada a un servidor externo mediante HTTP(S).
Entre los datos comprometidos se incluyen correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación y cookies de Safari, datos de billeteras y exchanges de criptomonedas, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración y contraseñas de Wi-Fi, historial de ubicación, calendario, información celular y de la SIM, lista de aplicaciones instaladas, datos de apps de Apple como Notas y Salud, así como historiales de mensajes de aplicaciones como Telegram y WhatsApp.
iVerify, en su propio análisis de DarkSword, señaló que la cadena de explotación utiliza vulnerabilidades JIT de JavaScriptCore en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529), dependiendo de la versión de iOS, para lograr ejecución remota de código mediante CVE-2026-20700, y posteriormente escapar del sandbox a través del proceso de la GPU aprovechando CVE-2025-14174 y CVE-2025-43510.
“DarkSword utiliza dos vulnerabilidades separadas para escapar del sandbox: primero salta del entorno WebContent al proceso de la GPU, y luego del proceso de la GPU a mediaplaybackd”, explicó el Google Threat Intelligence Group. “Se emplearon los mismos exploits de escape del sandbox independientemente de cuál exploit de ejecución remota de código fuera necesario”.
En la etapa final, se aprovecha una vulnerabilidad de escalada de privilegios en el kernel (CVE-2025-43520) para obtener capacidades de lectura/escritura arbitrarias y ejecución de funciones dentro de mediaplaybackd, y finalmente ejecutar el código JavaScript inyectado.
“Este malware es altamente sofisticado y parece ser una plataforma diseñada profesionalmente que permite el desarrollo rápido de módulos mediante el uso de un lenguaje de programación de alto nivel”, afirmó Lookout. “Este paso adicional demuestra un esfuerzo significativo en el desarrollo del malware, considerando su mantenibilidad, desarrollo a largo plazo y extensibilidad”.
Un análisis adicional de los archivos JavaScript utilizados en DarkSword reveló referencias a versiones de iOS 17.4.1 y 17.5.1, lo que indica que el kit fue adaptado desde una versión previa que apuntaba a versiones más antiguas del sistema operativo.
Otro aspecto que distingue a DarkSword de otros spyware es que no está diseñado para vigilancia persistente ni recopilación continua de datos. En otras palabras, una vez que se completa la exfiltración de datos, el malware elimina los archivos utilizados y finaliza su ejecución. El objetivo final, según Lookout, es minimizar el tiempo de permanencia y exfiltrar la información lo más rápido posible.
Se sabe muy poco sobre UNC6353, más allá de su uso tanto de Coruna como de DarkSword mediante ataques tipo watering hole en sitios web ucranianos comprometidos. Esto sugiere que el grupo cuenta con buen financiamiento para adquirir cadenas de exploits de iOS de alta calidad, probablemente desarrolladas para vigilancia comercial. Se estima que UNC6353 es un actor de amenazas técnicamente menos sofisticado, pero con motivaciones alineadas con los intereses de inteligencia rusos.
“Dado que tanto Coruna como DarkSword tienen capacidades para el robo de criptomonedas y la recopilación de inteligencia, debemos considerar la posibilidad de que UNC6353 sea un grupo privado respaldado por Rusia o un actor criminal que actúa como intermediario”, señaló Lookout.
“La completa falta de ofuscación en el código de DarkSword, así como en el HTML de los iframes, y el hecho de que el receptor de archivos esté diseñado de forma tan simple y con un nombre evidente, nos lleva a creer que UNC6353 podría no tener acceso a recursos de ingeniería avanzados o, alternativamente, no está preocupado por aplicar medidas adecuadas de seguridad operativa (OPSEC)”.
El uso de DarkSword también ha sido vinculado a otros dos actores de amenazas:
- UNC6748, que atacó a usuarios de Arabia Saudita en noviembre de 2025 mediante un sitio web temático de Snapchat (snapshare[.]chat), utilizando la cadena de explotación para desplegar GHOSTKNIFE, una puerta trasera en JavaScript capaz de robar información.
- Actividad asociada al proveedor turco de vigilancia comercial PARS Defense, que utilizó DarkSword en noviembre de 2025 para desplegar GHOSTSABER, otra puerta trasera en JavaScript que se comunica con un servidor externo para enumerar dispositivos y cuentas, listar archivos, exfiltrar datos y ejecutar código JavaScript arbitrario.
Google indicó que el uso observado de DarkSword por parte de UNC6353 en diciembre de 2025 solo afectaba versiones de iOS entre 18.4 y 18.6, mientras que las campañas atribuidas a UNC6748 y PARS Defense también apuntaban a dispositivos con iOS 18.7.
“Por segunda vez en un mes, actores de amenazas han utilizado ataques de tipo watering hole para dirigirse a usuarios de iPhone”, afirmó iVerify. “Cabe destacar que ninguno de estos ataques fue dirigido de forma individual. En conjunto, probablemente afectan a cientos de millones de dispositivos sin parchear que ejecutan versiones de iOS desde la 13 hasta la 18.6.2”.
“En ambos casos, las herramientas fueron descubiertas debido a fallos significativos en la seguridad operativa (OPSEC) y descuidos en el despliegue de capacidades ofensivas para iOS. Estos eventos recientes plantean varias preguntas clave: ¿Qué tan grande y bien equipado está el mercado de exploits 0-day y n-day para dispositivos iOS? ¿Qué tan accesibles son estas capacidades tan potentes para actores motivados financieramente?”
