Amenaza profunda contra el sistema iOS 18
Recientemente, se ha revelado en el ámbito de la seguridad móvil un complejo kit de explotación de iOS llamado "DarkSword". Según una investigación conjunta de la empresa de seguridad móvil Lookout, el Grupo de Análisis de Amenazas de Google (GTIG) e iVerify, esta cadena de vulnerabilidades se dirige principalmente a dispositivos iPhone que ejecutan las versiones de iOS 18.4 a 18.7. Al igual que la cadena de vulnerabilidades "Coruna" revelada anteriormente, DarkSword es utilizada por múltiples grupos de Amenazas Persistentes Avanzadas (APT) y proveedores de vigilancia comercial para robar información privada de las víctimas.
Tres familias de malware y métodos de ataque
La investigación muestra que, desde noviembre de 2025, DarkSword se ha utilizado para desplegar tres familias principales de malware:
1. GHOSTBLADE: Un recolector de datos basado en JavaScript capaz de robar datos de carteras de criptomonedas, información del sistema, historial del navegador, fotos, geolocalización y el contenido de conversaciones en herramientas de mensajería instantánea como iMessage, Telegram y WhatsApp.
2. GHOSTKNIFE: Un potente programa de puerta trasera (backdoor) diseñado específicamente para filtrar información de cuentas iniciadas, registros de llamadas y grabaciones de audio del dispositivo.
3. GHOSTSABER: Otra puerta trasera de JavaScript con capacidad de enumeración de dispositivos, listado de archivos y ejecución remota de código malicioso.
Grupos de ataque activos y distribución geográfica
El informe de GTIG señala que las actividades de ataque de DarkSword tienen características transnacionales evidentes. Los primeros atacantes observados incluyen a UNC6748, quienes llevaron a cabo ataques contra usuarios en Arabia Saudita mediante la suplantación del sitio web de Snapchat. Además, se descubrió que el proveedor de vigilancia comercial turco PARS Defense utilizó esta herramienta para realizar operaciones en Turquía y Malasia. Es alarmante que el grupo de hackers UNC6353, sospechoso de tener vínculos con Rusia, haya comenzado a utilizar DarkSword desde diciembre de 2025 para realizar actividades de espionaje contra objetivos en Ucrania.
Evolución técnica y rastros de desarrollo asistido por IA
Los investigadores de Lookout, al analizar la base de código de DarkSword, descubrieron una tendencia preocupante: el proceso de desarrollo del malware parece haber sido asistido por modelos de lenguaje extenso (LLM). El código contiene una gran cantidad de comentarios que explican detalladamente la lógica de las funciones, lo que demuestra un alto grado de profesionalización por parte de los atacantes. Este diseño no solo mejora la mantenibilidad del malware, sino que también sienta las bases para su futura expansión modular.
Recomendaciones de defensa y estado actual de la seguridad
DarkSword aprovecha seis vulnerabilidades conocidas, incluidas CVE-2025-31277 y CVE-2025-43529, que abarcan aspectos críticos como el escape de la zona de pruebas (sandbox), la escalada de privilegios y la ejecución remota de código. Aunque el proceso de ataque es complejo, iVerify señala que Apple ya ha corregido estas vulnerabilidades en las versiones más recientes de iOS.
Los expertos en ciberseguridad advierten que, a pesar de que DarkSword utiliza vulnerabilidades del sistema ya conocidas, su ataque de un solo clic (1-click attack) iniciado a través del navegador Safari sigue siendo extremadamente sigiloso. Se recomienda a los usuarios de iPhone mantener su sistema actualizado a la última versión y estar muy atentos a los enlaces web de fuentes desconocidas para evitar que se instale código malicioso residente en la memoria del dispositivo.
