Scopri anche

• Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi
• Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala
• Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
• PlayStation 3 riceve il firmware 4.93 a quasi vent'anni dal lancio: aggiornate le chiavi Blu-ray
• Sony rilascia il firmware 4.93 per PlayStation 3 a quasi vent'anni dal lancio
• Apple introduce i Background Security Improvements: il nuovo sistema di patch automatiche per iPhone, iPad e Mac
• Apple avverte gli utenti: aggiornare subito iPhone contro exploit DarkSword e Coruna
• La Cyber Kill Chain e le nuove frontiere della sicurezza cloud: strategie di difesa nell'era delle minacce accelerate
• Vulnerabilità iOS: exploit Coruna e DarkSword mettono a rischio milioni di iPhone
• CVE-2026-24061: la vulnerabilità che concede accesso root senza autenticazione su Telnet
• DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
• Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio
• Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
• DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
• Acronis True Image 2026 e Cyberthreats Report: minacce AI-driven in crescita nel panorama cybersecurity
• Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
• L'IA come arma a doppio taglio: l'evoluzione delle minacce cyber e le nuove strategie difensive
• Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra
• Microsoft Edge 146: patch di sicurezza per vulnerabilità zero-day e nuove funzionalità
• Nove vulnerabilità CrackArmor in Linux AppArmor espongono oltre 12 milioni di sistemi enterprise

DarkSword: catena di exploit sfrutta sei vulnerabilità per compromettere iPhone

DarkSword: catena di exploit sfrutta sei vulnerabilità per compromettere iPhone

Una nuova catena di exploit denominata DarkSword è stata identificata dai ricercatori di sicurezza di Google, Lookout e iVerify. La minaccia combina sei vulnerabilità specifiche in iOS e Safari per distribuire malware su dispositivi Apple. Secondo le analisi, l'exploit è stato impiegato dalla fine del 2025 da diversi attori, inclusi venditori di spyware commerciale e gruppi sospettati di attività statali, con campagne osservate in Arabia Saudita, Turchia, Malesia e Ucraina.

Meccanismo d'attacco e vulnerabilità sfruttate

⬆ Torna su

DarkSword sfrutta una tecnica definita "watering hole", che consiste nel compromettere siti web frequentati da un target specifico. L'obiettivo è infettare i dispositivi senza che gli utenti se ne accorgano. Un esempio documentato riguarda un sito web a tema Snapchat violato per colpire utenti sauditi: il sito reindirizzava verso piattaforme legittime, camuffando l'attività malevola. In Ucraina, gli attaccanti hanno compromesso almeno due siti web, incluso uno governativo.

L'exploit chain combina sei vulnerabilità specifiche: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520. A queste si aggiungono bug che riguardano ANGLE, JavaScriptCore/WebKit e il kernel di iOS. Le versioni di iOS prese di mira vanno dalla 18.4 alla 18.7. Visitare un sito web compromesso o malevolo con un dispositivo vulnerabile è sufficiente per l'infezione: si tratta di un attacco drive-by che non richiede interazione da parte dell'utente.

Processo di compromissione e dati esfiltrati

⬆ Torna su

Una volta completato l'exploit, il malware viene eseguito sul dispositivo. Il tipo di payload dipende dall'attaccante. Nella campagna ucraina, il malware distribuito è noto come Ghostblade. Lookout ha evidenziato i pericoli principali: DarkSword può fornire accesso a chiamate, messaggi, posizione GPS, password del Wi-Fi, foto private, cronologia del browser e portafogli di criptovalute.

Ghostblade si distingue per la capacità di cercare attivamente applicazioni legate alle criptovalute. I ricercatori hanno osservato che il malware individua app per scambi principali come Coinbase, Binance, Kraken, Kucoin, OKX, Mexc, e app per portafogli come Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom e Gnosis Safe. Una volta raccolti i dati, Ghostblade cancella i file temporanei e termina la propria esecuzione, adottando una strategia "mordi e fuggi" che rende difficile rilevare l'intrusione.

Attori coinvolti e diffusione

⬆ Torna su

Il gruppo UNC6353, già noto per i legami con lo spionaggio russo e il malware Coruna, è identificato come uno dei principali artefici della minaccia. DarkSword è stato impiegato sia da venditori di sorveglianza commerciale sia da attori allineati con stati nazionali. Il riutilizzo dello stesso kit di exploit tra diversi gruppi suggerisce che il numero di campagne e vittime potrebbe aumentare nel tempo. La segnalazione ufficiale della vulnerabilità risale al 18 marzo 2026.

Stima dei dispositivi interessati

⬆ Torna su

Secondo le stime, circa il 14-15% degli utenti iOS globali si trova ancora su versioni vulnerabili, con una portata potenziale di oltre 220 milioni di dispositivi non aggiornati alle versioni più recenti del sistema operativo. A differenza di altri attacchi mirati, DarkSword è stato avvistato anche in campagne di massa, segno che tecnologie di sorveglianza avanzata sono ormai accessibili a un numero crescente di attori malevoli.

Correzioni e aggiornamenti disponibili

⬆ Torna su

Apple ha rilasciato i correttivi per chiudere le falle nelle ultime versioni del software. Le versioni corrette includono iOS 26.3 e, per dispositivi più datati, iOS 18.7.6. Alcune vulnerabilità erano già state corrette in aggiornamenti precedenti. Per mettere in sicurezza il dispositivo, è necessario accedere a Impostazioni > Generali > Aggiornamento Software e installare l'ultima versione disponibile.

Misure di protezione aggiuntive

⬆ Torna su

Per gli utenti che potrebbero essere bersaglio di attacchi mirati (giornalisti, attivisti, persone con accesso a dati sensibili), i ricercatori consigliano di abilitare la Modalità di blocco (Lockdown Mode). Questa funzionalità riduce la superficie d'attacco disabilitando alcune funzioni, ma rende il dispositivo meno intuitivo. La Modalità di blocco ha dimostrato efficacia contro attacchi altamente mirati, secondo la documentazione tecnica consultata.

Ulteriori raccomandazioni operative includono cautela nella navigazione: evitare di cliccare su link sospetti ricevuti tramite messaggistica o social media, poiché i siti web compromessi rimangono il veicolo principale di infezione per DarkSword.

Contesto delle minacce informatiche

⬆ Torna su

La scoperta di DarkSword conferma l'esistenza di un mercato secondario di exploit in cui strumenti un tempo riservati a operazioni di spionaggio governativo sono ora utilizzati per colpire indiscriminatamente milioni di utenti. Le campagne di phishing analizzate nel contesto delle minacce informatiche mostrano tecniche avanzate di ingegneria sociale abbinate a exploit di automazione. Ad esempio, una campagna recente ha utilizzato file ZIP contenenti file con estensione .URL che attivano script eseguiti tramite Windows Script Host.

Il comportamento osservato in queste campagne combina recupero dinamico di runtime, cifratura dei payload e process injection per ottenere persistenza e stealth. L'indirizzo del server di comando e controllo viene recuperato da servizi di paste online, complicando il tracciamento e facilitando cambi di infrastruttura. Questo riduce l'efficacia dei metodi di rilevamento statico e richiede analisi della memoria volatile e correlazione dei log dei processi per ricostruire le attività malevole.

Protezione degli endpoint e best practice

⬆ Torna su

Le organizzazioni devono implementare il filtraggio degli allegati e dei download, applicare controlli di integrità sui file eseguibili e limitare i privilegi di esecuzione sui sistemi critici. I team di sicurezza dovrebbero integrare regole di application control, monitorare i processi per rilevare comportamenti anomali e centralizzare i log per analisi tempestive. La documentazione indica che l'adozione coordinata di policy, aggiornamenti e formazione degli utenti riduce il rischio operativo.

Per la gestione degli endpoint mobili, il framework operativo si articola in tre azioni principali: mappatura delle piattaforme in uso, definizione di policy differenziate per modello di integrazione e verifica periodica dei meccanismi di autenticazione e cifratura. Azioni concrete includono l'applicazione centralizzata delle patch, la limitazione delle integrazioni di terze parti e il monitoraggio delle comunicazioni inter-device.

Microsoft Defender e configurazione della sicurezza

⬆ Torna su

Microsoft Defender Antivirus, attivo di default, blocca le minacce in tempo reale e si aggiorna automaticamente. La protezione basata su cloud offre un contributo aggiuntivo contro minacce nuove. Per una pulizia approfondita, è disponibile Microsoft Defender Offline, strumento efficace contro malware persistente. Il firewall di Windows blocca connessioni pericolose da hacker o applicazioni sospette. La configurazione prevede l'attivazione per tutte le reti: pubblica, privata, dominio.

SmartScreen è un filtro che avverte se un file, un'app o un sito web sembra pericoloso. La protezione da exploit e l'isolamento del core usano tecnologie avanzate per fermare gli attacchi che sfruttano vulnerabilità nei programmi. L'isolamento del core richiede TPM 2.0, comune sui PC con Windows 11. BitLocker cifra i file rendendoli leggibili solo dal proprietario: è consigliato per chi trasporta il laptop e richiede il salvataggio della chiave di ripristino su un dispositivo separato.

Rischi generici e vettori di attacco

⬆ Torna su

Gli attacchi informatici avvengono tramite malware che infetta i computer attraverso collegamenti dannosi, allegati danneggiati o siti web contraffatti. Gli hacker sfruttano anche vulnerabilità nei sistemi informatici, specialmente in assenza di protezione firewall o con password deboli. I sistemi chiusi come iOS e macOS presentano vulnerabilità ridotte grazie ai protocolli di sicurezza integrati, ma non sono immuni. Le email di phishing sono progettate per indurre a cliccare su collegamenti dannosi o divulgare informazioni private. I siti contraffatti tentano di ingannare per ottenere credenziali di accesso.

Le misure di protezione includono password complesse e univoche, software antivirus con rilevamento delle minacce in tempo reale, aggiornamenti regolari del sistema operativo e delle applicazioni. È necessario verificare la sicurezza dei siti web, evitare clic su collegamenti sospetti e scaricare software solo da fonti affidabili. Il router Internet può rappresentare un punto di accesso alla rete o al computer: la documentazione indica di configurarlo correttamente per evitare che diventi un anello debole nella sicurezza.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La diffusione di DarkSword evidenzia come tecnologie di sorveglianza avanzata siano ormai accessibili a un numero crescente di attori. Il riutilizzo del kit di exploit tra gruppi diversi amplia la superficie di rischio oltre i target tradizionali.

• Scenario 1: Le campagne potrebbero intensificarsi man mano che il kit di exploit circola tra più gruppi, estendendosi oltre Arabia Saudita, Turchia, Malesia e Ucraina.
• Scenario 2: Gli utenti che non aggiornano iOS potrebbero rimanere esposti a lungo, considerando che circa il 14-15% dei dispositivi è ancora su versioni vulnerabili.
• Scenario 3: La strategia "mordi e fuggi" adottata da Ghostblade potrebbe ispirare altri malware, rendendo le analisi forensi più complesse.

Cosa monitorare

⬆ Torna su

• Adozione degli aggiornamenti iOS tra gli utenti a rischio (giornalisti, attivisti, figure con accesso a dati sensibili).
• Eventuali nuove campagne che sfruttano siti web compromessi con tecniche watering hole.
• Evoluzione del malware Ghostblade verso altri tipi di applicazioni oltre le piattaforme di criptovalute.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.quotidianodiragusa.it/2026/03/21/tecnologie/darksword-iphone-minaccia-russa-protezione/
• https://www.malwarebytes.com/blog/mobile/2026/03/a-darksword-hangs-over-unpatched-iphones
• https://www.epgitalia.tv/11586-2/
• https://www.think.it/phishing-confronto-tra-sistemi-operativi-e-nuove-difese-di-windows-11-cosa-sapere/
• https://it.easeus.com/backup-recovery/fix-windows-10-stuck-at-login-screen-with-spinning-circle.html
• https://www.navigaweb.net/2017/04/cosa-fa-il-centro-sicurezza-di-windows.html
• https://www.avg.com/it/signal/how-are-computers-hacked