El descubrimiento de DarkSword lo convierte en el segundo kit de explotaci\u00f3n para iOS, despu\u00e9s de Coruna<\/strong>, en ser identificado en el lapso de un mes. El kit est\u00e1 dise\u00f1ado para atacar iPhones que ejecutan versiones de iOS entre 18.4 y 18.7, y se dice que ha sido desplegado por un supuesto grupo de espionaje ruso llamado UNC6353<\/strong> en ataques dirigidos a usuarios ucranianos.<\/p>\n\n\n\n Cabe destacar que UNC6353 tambi\u00e9n ha sido vinculado al uso de Coruna en ataques contra ucranianos mediante la inyecci\u00f3n de un framework de JavaScript en sitios web comprometidos.<\/p>\n\n\n\n \u201cDarkSword tiene como objetivo extraer un amplio conjunto de informaci\u00f3n personal, incluidas credenciales del dispositivo, y apunta espec\u00edficamente a una gran cantidad de aplicaciones de billeteras de criptomonedas, lo que sugiere un actor de amenazas con motivaci\u00f3n financiera\u201d, dijo Lookout. \u201cNotablemente, DarkSword parece adoptar un enfoque de \u2018golpear y huir\u2019, recolectando y exfiltrando los datos objetivo del dispositivo en segundos o, como m\u00e1ximo, en minutos, seguido de una limpieza\u201d.<\/p>\n\n\n\n Cadenas de explotaci\u00f3n como Coruna y DarkSword est\u00e1n dise\u00f1adas para facilitar el acceso completo al dispositivo de una v\u00edctima con poca o ninguna interacci\u00f3n por parte del usuario. Los hallazgos muestran una vez m\u00e1s que existe un mercado secundario de exploits que permite a grupos con recursos limitados y objetivos que no necesariamente est\u00e1n alineados con el ciberespionaje adquirir \u201cexploits de primer nivel\u201d y utilizarlos para infectar dispositivos m\u00f3viles.<\/p>\n\n\n\n \u201cEl uso tanto de DarkSword como de Coruna por una variedad de actores demuestra el riesgo continuo de proliferaci\u00f3n de exploits entre actores de diferentes geograf\u00edas y motivaciones\u201d, se\u00f1al\u00f3 GTIG.<\/p>\n\n\n\n La cadena de explotaci\u00f3n asociada al kit recientemente descubierto utiliza seis vulnerabilidades diferentes para desplegar tres cargas \u00fatiles, de las cuales CVE-2026-20700<\/strong>, CVE-2025-43529<\/strong> y CVE-2025-14174<\/strong> fueron explotadas como zero-days<\/em>, antes de ser corregidas por Apple.<\/p>\n\n\n\n Lookout afirm\u00f3 que descubri\u00f3 DarkSword<\/strong> tras analizar la infraestructura maliciosa asociada con UNC6353<\/strong>, identificando que uno de los dominios comprometidos alojaba un elemento iFrame<\/em> malicioso encargado de cargar un JavaScript para identificar (fingerprint) los dispositivos que visitan el sitio y determinar si el objetivo debe ser redirigido a la cadena de explotaci\u00f3n de iOS. El m\u00e9todo exacto mediante el cual los sitios web son infectados actualmente se desconoce.<\/p>\n\n\n\n Lo que hizo que esto fuera notable es que el JavaScript buscaba espec\u00edficamente dispositivos de iOS que ejecutaran versiones entre 18.4 y 18.6.2, a diferencia de Coruna<\/strong>, que apuntaba a versiones m\u00e1s antiguas de iOS desde la 13.0 hasta la 17.2.1.<\/p>\n\n\n\n \u201cDarkSword es una cadena completa de explotaci\u00f3n y un infostealer<\/em> escrito en JavaScript\u201d, explic\u00f3 Lookout. \u201cAprovecha m\u00faltiples vulnerabilidades para establecer ejecuci\u00f3n de c\u00f3digo con privilegios, acceder a informaci\u00f3n sensible y exfiltrarla fuera del dispositivo\u201d.<\/p>\n\n\n\n Al igual que ocurre con Coruna, la cadena de ataque comienza cuando un usuario visita, a trav\u00e9s de Safari, una p\u00e1gina web que contiene un iFrame<\/em> con JavaScript. Una vez activado, DarkSword es capaz de romper las restricciones del sandbox<\/em> de WebContent (tambi\u00e9n conocido como el proceso de renderizado de Safari) y utilizar WebGPU para inyectarse en mediaplaybackd<\/strong>, un daemon del sistema introducido por Apple para gestionar la reproducci\u00f3n multimedia.<\/p>\n\n\n\n Esto, a su vez, permite que el malware recolector de datos \u2014denominado GHOSTBLADE<\/strong>\u2014 obtenga acceso a procesos privilegiados y a partes restringidas del sistema de archivos. Tras una escalada de privilegios exitosa, se utiliza un m\u00f3dulo orquestador para cargar componentes adicionales dise\u00f1ados para recolectar datos sensibles, as\u00ed como para inyectar una carga de exfiltraci\u00f3n en SpringBoard<\/strong>, con el fin de enviar la informaci\u00f3n recopilada a un servidor externo mediante HTTP(S).<\/p>\n\n\n\n\n
![\"\"\/](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEinOSvi1zuMizS2BExL8YTa6EMS4Rfj7Mt2QQLgH8cVNUnbhLUc6gG67nE0hT93NguRR7PyfSz47enhdApUdlpS6ZJRey4rY5AtbUtW_n6pmXM316Kf0D0hT0Kz5Fx36DHsH10Hk10207HiblZeEjx7K-eho-H3IQEjqJVzUkL0Iz1D5ORpmVkCaJQNCV0L\/s1700-e365\/timeline.jpg\")
<\/a><\/figure>\n\n\n\n
![\"\"\/](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEj6HX-MuizM5CMrlQYy2syXnesoB0w8uayjS7Mv1mUindwmAXycHbnae2JYwb1AscSk7v9ZE9v5WpdijRFC-dio2Acg2eU7yUBFg2moGlNjoPMDn9CYicAeH_uGprAQMz4XR5jH0htwczbCxd7v-hFo_arF2Ad7VvaePC8oa10iA35r2gF9ovsD03ZKQ2rK\/s1700-e365\/loader.jpg\")
<\/a><\/figure>\n\n\n\n