Scopri anche

• Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza
• Modalità di Isolamento Apple: la funzione di sicurezza che ha resistito all'FBI
• Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse
• Vulnerabilità critiche nei router TP-Link: analisi tecnica e misure di mitigazione
• Tool di hacking DarkSword e Coruna trapelati online: come proteggere gli iPhone dalle vulnerabilità
• Vulnerabilità critiche nei router TP-Link: patch urgenti e mitigazioni consigliate
• iPhone e sicurezza: come riconoscere i segnali di un dispositivo compromesso e proteggersi dagli attacchi
• DarkSword: l'exploit kit iOS che minaccia milioni di iPhone viene reso pubblico su GitHub
• DarkSword: catena di exploit sfrutta sei vulnerabilità per compromettere iPhone
• Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala
• Vulnerabilità CVE-2026-0628 in Chrome: il pannello Gemini a rischio di exploit
• Apple avverte gli utenti: aggiornare subito iPhone contro exploit DarkSword e Coruna
• Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
• Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi
• DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
• Apple conferma evento 4 marzo 2026: oltre mezza dozzina di nuovi dispositivi attesi
• La Cyber Kill Chain e le nuove frontiere della sicurezza cloud: strategie di difesa nell'era delle minacce accelerate
• Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra
• Apple rilascia aggiornamenti di sicurezza critici per iPhone e iPad: mitigato l'exploit Coruna
• Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii

DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi

DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi

DarkSword è un exploit kit per iOS interamente scritto in JavaScript che combina sei vulnerabilità distinte, tra cui tre zero-day, per ottenere il controllo silenzioso dei dispositivi non aggiornati. Rivelato pubblicamente il 18 marzo 2026 in un rapporto congiunto di Google Threat Intelligence Group, Lookout e iVerify, DarkSword risulta attivo almeno dal novembre 2025 ed è stato adottato simultaneamente da molteplici attori di minaccia operanti in ambiti di spionaggio, criminalità informatica e sorveglianza commerciale.

Caratteristiche tecniche e architettura dell'attacco

⬆ Torna su

L'architettura di DarkSword si distingue dagli exploit kit iOS precedenti per la sua intera implementazione in JavaScript, caratteristica che ne consente un rapido adattamento e deployment da parte di operatori con obiettivi diversi. L'attacco inizia interamente all'interno del browser Safari: quando una vittima utilizza un iPhone vulnerabile visita un sito legittimo compromesso, uno script malevolo iniettato nell'HTML della pagina recupera la prima fase di consegna da un server controllato dagli attaccanti.

La catena di exploit si articola in quattro fasi. La prima fase sfrutta due vulnerabilità JavaScriptCore per ottenere l'esecuzione di codice remoto nel processo Safari: CVE-2025-31277, un bug di type confusion nel livello di ottimizzazione JIT di JavaScriptCore, e CVE-2025-43529, una vulnerabilità legata al garbage collection nel livello JIT del Data Flow Graph. Queste vulnerabilità forniscono all'attaccante accesso in lettura e scrittura arbitraria all'interno del processo Safari.

La seconda fase prevede l'escape dalla sandbox tramite CVE-2025-14174, una scrittura out-of-bounds nella libreria di traduzione shader ANGLE GPU, combinata con CVE-2026-20700, un bypass del codice di autenticazione del puntatore dyld. La terza fase riguarda l'escalation dei privilegi a livello kernel attraverso CVE-2025-43510, un bug copy-on-write sfruttato all'interno di mediaplaybackd, e CVE-2025-43520, una condizione di race condition nell'implementazione del filesystem virtuale XNU.

Con i privilegi kernel acquisiti, l'orchestratore consegna il payload JavaScript finale. Vengono deployate tre famiglie di malware: GHOSTBLADE, GHOSTKNIFE e GHOSTSABER. La raccolta dei dati inizia immediatamente e viene esfiltrata tramite HTTPS verso un endpoint C2 controllato dagli attaccanti.

Campagne e attori di minaccia

⬆ Torna su

Il gruppo TA446, noto anche come Callisto, COLDRIVER e Star Blizzard, è stato identificato con alta probabilità come l'attore dietro campagne mirate che utilizzano DarkSword. Tale gruppo è valutato come affiliato al Federal Security Service russo. L'attività recente, segnalata da Proofpoint e Malfors, ha impiegato email false di "invito alla discussione" che contraffanno l'Atlantic Council per facilitare la consegna di GHOSTBLADE attraverso il kit DarkSword. Le email sono state inviate da mittenti compromessi il 26 marzo 2026. Tra i destinatari figura Leonid Volkov, politico dell'opposizione russa.

Secondo le analisi, TA446 non era stato precedentemente osservato mentre targettizza account iCloud o dispositivi Apple, ma l'adozione del kit exploit DarkSword ha consentito all'attore di estendere le operazioni ai dispositivi iOS. Le campagne osservate hanno avuto un target "molto più ampio del solito", includendo enti governativi, think tank, istituzioni accademiche, finanziarie e legali.

Oltre agli attori statali, il gruppo UNC6353, sospettato di origine russa, ha deployato GHOSTBLADE in attacchi watering hole contro utenti ucraini. Parallelamente, il vendor di sorveglianza commerciale PARS Defense e il gruppo UNC6748 hanno utilizzato la stessa catena di exploit contro utenti in Turchia, Arabia Saudita e Malesia, con particolare attenzione a wallet di criptovalute e applicazioni bancarie mobili.

Versioni iOS vulnerabili e dispositivi interessati

⬆ Torna su

DarkSword colpisce le versioni iOS 18 comprese tra la 18.4 e la 18.7. Secondo le stime di iVerify e Lookout, tra 220 e 270 milioni di iPhone in tutto il mondo eseguono ancora queste versioni vulnerabili, rappresentando circa il 14% di tutti i dispositivi iOS attivi. La proporzione è particolarmente significativa nei mercati europei dove gli utenti tendono a estendere la durata dei dispositivi prima dell'aggiornamento.

Apple ha corretto le sei vulnerabilità attraverso aggiornamenti successivi: iOS 18.7.2, 18.7.3, 18.7.6 e iOS 26.3. I dispositivi che eseguono iOS 26.3.1 o iOS 18.7.6 sono protetti. Qualsiasi iPhone con iOS 18.4 fino alla 18.7.1 rimane completamente vulnerabile alla catena di exploit completa.

Capacità di esfiltrazione dati

⬆ Torna su

Le capacità di esfiltrazione di DarkSword sono estese. L'exploit è progettato per sottrarre virtualmente qualsiasi informazione preziosa memorizzata sul telefono o accessibile tramite le app installate. GHOSTBLADE funziona come un data thief basato su JavaScript focalizzato su applicazioni di criptovalute e servizi finanziari. I ricercatori hanno osservato ricerche attive di credenziali per wallet come Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom e Gnosis Safe, oltre a applicazioni di scambio come Coinbase, Binance, Kraken, KuCoin, OKX e MEXC.

L'exploit può inoltre ottenere password di reti WiFi, dati dettagliati sulla posizione, foto e informazioni memorizzate negli account iCloud collegati al dispositivo. L'intera operazione può concludersi in pochi minuti: attacco al dispositivo, raccolta delle informazioni, invio a un server remoto e cancellazione delle tracce. GHOSTSABER fornisce esecuzione di codice arbitrario persistente che sopravvive oltre l'evento di sfruttamento iniziale.

Metodo di consegna e siti compromessi

⬆ Torna su

Il metodo di consegna è l'attacco drive-by watering hole. La vittima visita un sito web legittimo compromesso utilizzando Safari su un iPhone non aggiornato, senza richiedere interazione dell'utente oltre al caricamento della pagina. I ricercatori hanno osservato campagne che utilizzavano siti web a tema Snapchat o portali ucraini legittimi, incluso almeno un sito governativo. In alcuni casi, i server-side filtering erano configurati per reindirizzare solo i browser iPhone verso il kit exploit, mostrando documenti PDF decoy agli altri dispositivi.

Nei domini controllati da TA446 è stato servito il kit exploit DarkSword, includendo il redirector iniziale, l'exploit loader, i componenti di esecuzione codice remoto e i bypass del Pointer Authentication Code. Non vi è tuttavia evidenza che siano stati consegnati sandbox escape.

La pubblicazione su GitHub e le implicazioni

⬆ Torna su

La divulgazione di una versione aggiornata di DarkSword su GitHub ha sollevato preoccupazioni riguardo alla democratizzazione di exploit di livello statale. Il repository contiene principalmente codice HTML e JavaScript, accompagnato da commenti che spiegano in modo chiaro come collegare le vulnerabilità e deployare l'exploit. Secondo i ricercatori di iVerify, chiunque con una comprensione di base dei server web può copiare e hostare il codice in pochi minuti o ore.

Justin Albrecht, ricercatore principale di Lookout, ha dichiarato che la versione leaked plug-and-play consente anche ad attori di minaccia non qualificati di deployare kit di spionaggio iOS avanzati, trasformandoli in malware commodity. Secondo Albrecht, DarkSword confuta la credenza comune che gli iPhone siano immuni dalle minacce informatiche e che gli attacchi mobili avanzati siano utilizzati solo in sforzi mirati contro governi e funzionari di alto rango.

Matthias Frielingsdorf, cofondatore di iVerify, ha descritto il leak come "grave" perché l'exploit è troppo facile da riutilizzare, non essendo più solo uno strumento nelle mani di gruppi altamente specializzati ma una risorsa adottabile da attori opportunisti con motivazioni puramente economiche.

La risposta di Apple

⬆ Torna su

Apple ha iniziato a inviare notifiche Lock Screen a iPhone e iPad che eseguono versioni precedenti di iOS e iPadOS per avvisare gli utenti degli attacchi basati sul web e invitarli a installare l'aggiornamento. L'azienda ha informato Google delle vulnerabilità utilizzate da DarkSword alla fine del 2025 e da allora ha rilasciato aggiornamenti per chiudere le falle di sicurezza. Le vulnerabilità sfruttate dal kit sono completamente corrette in iOS 26.3 e versioni successive.

Per i dispositivi che non possono migrare alle ultime versioni, Apple ha rilasciato patch di emergenza specifiche per le varianti iOS 18 vulnerabili. L'azienda sottolinea che l'opzione più sicura rimane l'aggiornamento all'ultimo iOS disponibile quando l'hardware lo consente, dato che gli aggiornamenti di sicurezza minori non always raggiungono lo stesso livello di protezione completa.

Con software aggiornato, secondo Apple, gli iPhone non dovrebbero essere vulnerabili a DarkSword né alle reti di traffico note associate a questo kit. Esistono inoltre livelli di difesa aggiuntivi come la Lockdown Mode, progettata per utenti ad alto rischio, che limita considerevolmente la superficie di attacco. La Lockdown Mode impedisce la compilazione JIT di Safari, bloccando direttamente le fasi iniziali di sfruttamento JavaScriptCore da cui dipende DarkSword.

Mitigazioni e raccomandazioni operative

⬆ Torna su

I team di sicurezza dovrebbero bloccare la risoluzione DNS e le connessioni in uscita verso tutti i domini di consegna DarkSword confermati: static.cdncounter[.]net, cdncounter[.]net, cdn.cdncounter[.]net, count.cdncounter[.]net e sqwas.shapelie[.]com. Le piattaforme MDM dovrebbero pushare questi blocchi a tutti i dispositivi iOS gestiti, indipendentemente dallo stato della patch.

Google ha aggiunto i domini identificati nelle campagne al servizio Safe Browsing, consentendo la visualizzazione di avvisi nei browser compatibili quando l'utente tenta di accedere a una pagina pericolosa. iVerify e Lookout hanno iniziato a integrare rilevamenti specifici nelle proprie soluzioni iOS, fungendo da livello aggiuntivo di monitoraggio e allerta precoce.

Ogni utente che ha visitato siti web sconosciuti o compromessi su un iPhone non aggiornato dovrebbe considerare tutte le credenziali di criptovaluta memorizzate come compromesse. Le raccomandazioni includono il trasferimento degli asset in nuovi wallet generati su un dispositivo pulito e patchato, la revoca delle chiavi API esistenti per gli account di scambio e l'attivazione dell'2FA con chiave hardware su tutti gli account di scambio.

Qualsiasi utente iPhone che ha visitato siti di notizie, governativi o della comunità relativi a Ucraina, Arabia Saudita, Turchia o Malesia su iOS 18.4-18.7.1 da novembre 2025 dovrebbe considerare il dispositivo potenzialmente compromesso. Le azioni consigliate includono cancellazione e ripristino da un backup pulito pre-novembre 2025 o reset completo di fabbrica, oltre alla rotazione di tutte le credenziali memorizzate in Safari Passwords, iCloud Keychain e applicazioni di criptovaluta.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La pubblicazione di DarkSword su GitHub rappresenta un punto di svolta nella diffusione di capacità di spionaggio mobile. La disponibilità di codice "plug-and-play" potrebbe abbassare significativamente la soglia di accesso per attori meno specializzati, trasformando uno strumento inizialmente sviluppato per operazioni mirate in una risorsa utilizzabile per campagne su larga scala con motivazioni economiche.

• Scenario 1: gli attori opportunisti potrebbero adottare DarkSword per colpire sistematicamente gli oltre 200 milioni di dispositivi ancora vulnerabili, con particolare attenzione alle applicazioni finanziarie e ai wallet di criptovalute già identificati come obiettivi.
• Scenario 2: la condivisione del codice potrebbe incentivare lo sviluppo di varianti adattate ad altre versioni iOS o browser, estendendo il perimetro della minaccia oltre le versioni attualmente colpite.
• Scenario 3: l'evoluzione delle campagne di phishing osservate da TA446 suggerisce una possibile intensificazione delle operazioni contro bersagli nell'Europa orientale e nelle istituzioni occidentali.

Cosa monitorare

⬆ Torna su

• Il tasso di adozione degli aggiornamenti iOS 18.7.6 e 26.3.1, specialmente nei mercati europei dove la persistenza di dispositivi non aggiornati è più elevata.
• Eventuali fork o derivazioni del repository DarkSword su piattaforme di condivisione codice.
• Segnalazioni di nuovi siti legittimi compromessi utilizzati come vettori watering hole.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://thehackernews.com/2026/03/ta446-deploys-leaked-darksword-ios.html
• https://www.infosectoday.io/ta446-deploys-darksword-ios-exploit-kit-in-targeted-spear-phishing-campaign/
• https://www.hendryadrian.com/ta446-deploys-darksword-ios-exploit-kit-in-targeted-spear-phishing-campaign/
• https://news.fyself.com/ta446-deploys-darksword-ios-exploit-kit-in-targeted-spear-phishing-campaign/
• https://tecnobits.com/en/darksword-exploit-iphone-alarma-global-de-seguridad/
• https://cybersecsentinel.com/darksword-ios-exploit-chains-six-vulnerabilities-for-silent-device-takeover/
• https://www.libero.it/tecnologia/darksword-exploit-ios-safari-attacco-iphone-soluzione-114246