Scopri anche

• DarkSword: catena di exploit sfrutta sei vulnerabilità per compromettere iPhone
• Patch Management e Vulnerability Management: differenze, integrazione e il caso NetScaler
• Apple avverte gli utenti: aggiornare subito iPhone contro exploit DarkSword e Coruna
• Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala
• Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi
• Apple conferma evento 4 marzo 2026: oltre mezza dozzina di nuovi dispositivi attesi
• DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
• Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
• Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra
• Apple introduce i Background Security Improvements: il nuovo sistema di patch automatiche per iPhone, iPad e Mac
• Apple rilascia il primo Background Security Improvement per iOS, iPadOS e macOS Tahoe
• DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
• CVE-2026-24061: la vulnerabilità che concede accesso root senza autenticazione su Telnet
• iOS 26: problemi di batteria e Face ID segnalati dagli utenti, ecco le cause e le soluzioni
• Vulnerabilità zero-day e malware colpiscono i browser Chromium: analisi delle minacce e confronto tra Chrome ed Edge
• Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
• iOS 26.3.1: aggiornamento di stabilità, sicurezza e compatibilità per iPhone
• Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza
• Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
• Windows 11 KB5079473: 79 vulnerabilità corrette e nuove funzionalità nel Patch Tuesday di marzo 2026

DarkSword: l'exploit kit iOS che minaccia milioni di iPhone viene reso pubblico su GitHub

DarkSword: l'exploit kit iOS che minaccia milioni di iPhone viene reso pubblico su GitHub

Una versione più recente dell'exploit kit DarkSword è stata caricata sulla piattaforma di condivisione codice GitHub, rendendo potenzialmente accessibili a qualsiasi attore malintenzionato strumenti fino a ora riservati a campagne di spionaggio mirate. Secondo i ricercatori di sicurezza che hanno analizzato i file, il codice pubblicato consiste in semplici file HTML e JavaScript che possono essere ospitati su un server in pochi minuti, senza richiedere competenze specifiche su iOS per essere utilizzati. Matthias Frielingsdorf, cofondatore di iVerify, ha dichiarato che gli exploit "funzionano subito, senza alcuna competenza iOS richiesta".

La scoperta originale di DarkSword risale alle settimane precedenti, quando Google Threat Intelligence Group, iVerify e Lookout hanno rivelato i dettagli di due toolkit di hacking per iOS: Coruna e DarkSword. Entrambi sfruttano catene di vulnerabilità per compromettere completamente dispositivi obsoleti. La fuga del codice su GitHub ha aumentato l'urgenza per gli utenti di aggiornare ai più recenti sistemi operativi disponibili.

Come funziona la catena di exploit DarkSword

⬆ Torna su

DarkSword è progettato come una full-chain exploit scritta interamente in JavaScript. L'attacco si attiva quando un utente visita tramite Safari una pagina web compromessa che incorpora un iframe contenente il codice malevolo. Il loader iniziale, denominato rce_loader.js, rileva la versione di iOS presente sul dispositivo e seleziona la catena di exploit appropriata.

Secondo l'analisi tecnica condotta dai ricercatori, l'exploit chain utilizza sei diverse vulnerabilità per dispiegare tre payload. Di queste, CVE-2026-20700, CVE-2025-43529 e CVE-2025-14174 sono state sfruttate come zero-day prima che Apple rilasciasse le patch correttive. L'attacco sfrutta vulnerabilità in JavaScriptCore JIT nel processo di rendering di Safari per ottenere l'esecuzione di codice remoto, per poi effettuare l'escape dal sandbox tramite il processo GPU.

La sequenza di compromissione procede attraverso fasi distinte: prima escape dal sandbox WebContent verso il processo GPU, poi dal processo GPU verso mediaplaybackd, un daemon di sistema introdotto da Apple per gestire le funzioni di riproduzione multimediale. Infine, una vulnerabilità di privilege escalation a livello kernel (CVE-2025-43520) consente di ottenere capacità di lettura/scrittura arbitraria e di eseguire codice JavaScript iniettato all'interno di processi privilegiati.

Il modulo GHOSTBLADE e l'esfiltrazione dei dati

⬆ Torna su

Una volta ottenuto l'accesso privilegiato, il malware – denominato GHOSTBLADE dai ricercatori – accede a processi privilegiati e parti ristrette del file system. Un modulo orchestratore carica componenti aggiuntivi progettati per raccogliere dati sensibili e iniettare un payload di esfiltrazione in SpringBoard per trasferire le informazioni a un server esterno tramite HTTP(S).

Il modulo principale pe_main.js forza il caricamento di JavaScriptCore nei processi di sistema, tra cui configd, wifid, securityd, UserEventAgent e SpringBoard. L'operazione completa richiede pochi secondi o al massimo minuti: una tecnica "hit-and-run" che minimizza il tempo di permanenza sul dispositivo riducendo le probabilità di rilevamento.

I dati bersaglio includono contatti, messaggi, cronologia delle chiamate e il keychain iOS che memorizza password Wi-Fi e altre credenziali. Lookout ha evidenziato che DarkSword prende di mira specificamente numerose applicazioni di portafoglio cripto, indicando motivazioni finanziarie oltre allo spionaggio. Una volta completata l'esfiltrazione, il malware procede alla pulizia dei file temporanei prima di uscire, senza mantenere persistenza sul dispositivo.

Dispositivi e versioni iOS vulnerabili

⬆ Torna su

DarkSword colpisce principalmente dispositivi iPhone e iPad con versioni iOS comprese tra 18.4 e 18.7, ma analysis del codice JavaScript ha rivelato riferimenti anche alle versioni iOS 17.4.1 e 17.5.1, suggerendo che il kit è stato portato da una versione precedente che prendeva di mira sistemi operativi più datati. L'analisi di iVerify indica che gli exploit funzionano immediatamente su dispositivi con sistemi operativi precedenti.

Secondo i dati di Apple, circa un quarto di tutti gli utenti iPhone e iPad attivi sta ancora eseguendo iOS 18 o versioni precedenti. Con oltre 2,5 miliardi di dispositivi attivi, questo equivale a centinaia di milioni di persone potenzialmente esposte ad attacchi DarkSword. Le versioni legacy come iOS 15.8.7 e 16.7.15 sono anch'esse interessate, con aggiornamenti di sicurezza specifici rilasciati da Apple per i dispositivi che non possono eseguire le versioni più recenti del sistema operativo.

Attori minacciosi e mercato degli exploit

⬆ Torna su

DarkSword non è utilizzato da un singolo gruppo. Secondo i report di Google Threat Intelligence Group, il kit è stato impiegato da molteplici vendor di sorveglianza commerciale e attori sospettati di essere sponsorizzati da stati in campagne distinte che hanno colpito Arabia Saudita, Turchia, Malaysia e Ucraina. Il gruppo UNC6353, sospettato di essere legato a requisiti di intelligence russa, ha utilizzato DarkSword in attacchi contro utenti ucrainani attraverso tecniche di "watering hole" su siti web compromessi.

Lo stesso kit è stato adottato anche da UNC6748 e PARS Defense, confermando l'esistenza di un mercato secondario per exploit che permette a gruppi con risorse limitate di acquisire "exploit di prima classe" per infettare dispositivi mobili. I ricercatori hanno evidenziato che l'uso congiunto di DarkSword e Coruna da parte di attori di varia estrazione geografica e motivazione dimostra il rischio continuo di proliferazione degli exploit attraverso attori diversi.

Lookout ha osservato che la mancanza di offuscamento nel codice DarkSword, l'assenza di offuscamento negli iframe HTML e la progettazione elementare del file receiver suggeriscono che UNC6353 potrebbe non avere accesso a forti risorse di ingegneria o non essere preoccupato di adottare appropriate misure di sicurezza operativa.

Risposta di Apple e misure di protezione

⬆ Torna su

Apple ha rilasciato l'11 marzo aggiornamenti di emergenza per iOS 26.3, iOS 18.7.3 e aggiornamenti specifici per dispositivi che non possono eseguire le versioni più recenti del sistema operativo. L'azienda ha confermato di essere a conoscenza dell'exploit che colpisce dispositivi con sistemi operativi obsoleti e ha sottolineato che mantenere il software aggiornato è l'azione più importante per mantenere la sicurezza dei prodotti Apple.

Per gli utenti ad alto rischio come giornalisti, attivisti e dirigenti, Apple raccomanda l'attivazione della modalità Lockdown Mode che blocca questi attacchi specifici anche su software non aggiornato. I dispositivi con software aggiornato non sono a rischio dagli attacchi segnalati. La documentazione ufficiale sottolinea l'importanza di aggiornare tempestivamente anche i dispositivi più datati che hanno ricevuto patch dedicate.

Implicazioni per la sicurezza mobile

⬆ Torna su

La pubblicazione del codice DarkSword su GitHub rappresenta uno spostamento significativo nel panorama delle minacce iOS. Strumenti precedentemente limitati a campagne di spionaggio mirate sono ora accessibili a criminali comuni senza competenze tecniche avanzate. Il codice contiene commenti che descrivono dettagliatamente il funzionamento degli exploit e le istruzioni per l'implementazione, incluse indicazioni per l'esfiltrazione di dati forensivamente rilevanti tramite HTTP.

Un commento presente nel codice, probabilmente scritto da uno degli sviluppatori di DarkSword, specifica che l'exploit "legge ed esfiltra file forensicamente rilevanti da dispositivi iOS tramite HTTP". Il riferimento a "post-exploitation activity" descrive il processo successivo all'accesso al telefono, includendo il dump di contatti, messaggi, cronologia chiamate e keychain iOS verso un server remoto. Un file contiene riferimenti al caricamento di dati su un popolare sito web di abbigliamento ucraino, sebbene TechCrunch non abbia potuto determinare immediatamente il motivo.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La pubblicazione del codice su GitHub riduce drasticamente la barriera tecnica per condurre attacchi un tempo riservati a entità statuali. La disponibilità immediata di exploit funzionali amplia il numero potenziale di aggressori.

• Scenario 1: criminali comuni potrebbero adottare DarkSword per campagne su larga scala, sfruttando la semplicità di deployment descritta nel codice.
• Scenario 2: l'assenza di persistenza suggerisce attacchi "hit-and-run" difficili da rilevare, ma con impatti contenuti nel tempo sui singoli dispositivi.
• Scenario 3: il mercato secondario di exploit potrebbe espandersi ulteriormente, permettendo a gruppi con risorse limitate di acquisire capacità offensive avanzate.

Cosa monitorare

⬆ Torna su

• Adozione degli aggiornamenti di sicurezza Apple tra la base utenti ancora vulnerabile.
• Eventuali varianti o evoluzioni del kit DarkSword su altre piattaforme.
• Segnalazioni di nuove campagne che sfruttano le CVE menzionate su dispositivi obsoleti.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.androidauthority.com/darksword-iphone-exploit-leaked-github-3651373/
• https://www.gadgets360.com/mobiles/news/darksword-ios-toolkit-github-iphone-exploit-11258684
• https://startupnews.fyi/2026/03/24/darksword-exploit-leaks-on-github/
• https://9to5mac.com/2026/03/23/darksword-exploit-which-affects-outdated-versions-of-ios-leaks-on-github/
• https://techcrunch.com/2026/03/23/someone-has-publicly-leaked-an-exploit-kit-that-can-hack-millions-of-iphones/
• https://thehackernews.com/2026/03/darksword-ios-exploit-kit-uses-6-flaws.html
• https://www.tuttohackintoshcydiajailbreak.org/darksword-exploit-chain-ios-che-ruba-dati-da-milioni-di-iphone-come-funziona-e-come-proteggerti