Scopri anche

• Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra
• CVE-2026-24061: la vulnerabilità che concede accesso root senza autenticazione su Telnet
• Apple rilascia aggiornamenti di sicurezza critici per iPhone e iPad: mitigato l'exploit Coruna
• Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
• DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
• Vulnerabilità zero-day e malware colpiscono i browser Chromium: analisi delle minacce e confronto tra Chrome ed Edge
• Apple introduce i Background Security Improvement: il nuovo sistema di patch leggere per iOS e macOS
• Nove vulnerabilità CrackArmor in Linux AppArmor espongono oltre 12 milioni di sistemi enterprise
• Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza
• Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
• Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio
• Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
• Windows 11 KB5079473: 79 vulnerabilità corrette e nuove funzionalità nel Patch Tuesday di marzo 2026
• Apple rilascia il primo Background Security Improvement per iOS, iPadOS e macOS Tahoe
• Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
• Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
• iOS 26: problemi di batteria e Face ID segnalati dagli utenti, ecco le cause e le soluzioni
• Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate
• Sony rilascia il firmware 13.50 per PlayStation 4: miglioramenti al sistema e possibili patch di sicurezza
• Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali

DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple

DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple

Un nuovo kit di exploit per iOS, denominato DarkSword, è stato individuato dal Google Threat Intelligence Group insieme a Lookout e iVerify. La minaccia sfrutta vulnerabilità zero-day per compromettere dispositivi iPhone con versioni di iOS comprese tra la 18.4 e la 18.7, attraverso l'esecuzione di codice malevolo tramite siti web compromessi o creati ad hoc. Apple ha già corretto le vulnerabilità sfruttate tramite aggiornamenti di sicurezza resi disponibili per le versioni più recenti del sistema operativo.

Le campagne di attacco documentate dai ricercatori sono risultate attive almeno dal novembre 2025 e hanno coinvolto molteplici attori, tra cui vendor di sorveglianza commerciale e gruppi con presunti legami statali. L'individuazione di DarkSword segue la scoperta di un'altra catena di exploit per iOS, chiamata Coruna (anche nota come CryptoWaters), identificata nel febbraio 2025 sempre dal Google Threat Intelligence Group.

Caratteristiche tecniche della catena di exploit

⬆ Torna su

DarkSword appartiene alla categoria delle exploit chain: non si limita a sfruttare una singola vulnerabilità, ma combina più falle in sequenza per raggiungere una compromissione completa del dispositivo. Secondo le analisi condotte da Lookout Threat Labs, la catena di exploit utilizza sei vulnerabilità, di cui tre sfruttate come zero-day, per ottenere il controllo a livello kernel del sistema operativo iOS.

Il vettore di attacco principale è la tecnica del "watering hole": gli attaccanti compromettono siti web considerati affidabili dal target o creano pagine che imitano servizi legittimi. L'infezione avviene tramite la semplice visita del sito compromesso, senza che l'utente debba scaricare file o installare applicazioni. Questa modalità, definita "drive-by", riduce sensibilmente le possibilità di rilevamento da parte della vittima.

Il framework JavaScript utilizzato da DarkSword include un componente chiamato rce_loader.js responsabile del fingerprinting del dispositivo. Lo script rileva il tipo di dispositivo e la versione di iOS, quindi determina se instradare il traffico verso la catena di exploit appropriata. Secondo quanto riportato da Lookout, lo script cercava specificamente dispositivi con versioni di iOS 18.4 o 18.6.2, versioni non suscettibili alle catene di exploit utilizzate da Coruna, confermando che DarkSword rappresenta una minaccia distinta.

Payload e capacità di raccolta dati

⬆ Torna su

Una volta completata la catena di exploit, DarkSword distribuisce payload appartenenti a tre famiglie di malware: GHOSTBLADE, GHOSTKNIFE e GHOSTSABER. Ciascuna di queste famiglie possiede capacità specifiche di raccolta dati o accesso remoto al dispositivo compromesso.

Gli esperti di Malwarebytes hanno descritto le capacità di Ghostblade: "Ghostblade e i relativi payload sono in grado di intercettare comunicazioni (SMS, iMessage, Telegram, WhatsApp, e-mail), foto, dati sanitari, cronologia delle posizioni, credenziali Wi-Fi, elementi del portachiavi e altro ancora con un'unica operazione".

La compromissione non si limita a singoli dati ma punta a un controllo esteso del dispositivo, con potenziale accesso a identità digitale, reti domestiche e aziendali e autenticazioni salvate nel portachiavi, inclusi account sensibili e servizi bancari. DarkSword identifica specificamente applicazioni di exchange e portafogli di criptovalute, consentendo sia il furto diretto di asset digitali sia la profilazione di obiettivi con patrimonio digitale elevato per attacchi successivi mirati.

Una caratteristica distintiva di DarkSword rispetto ad altri spyware è l'approccio "hit-and-run": il malware raccoglie i dati obiettivo, li esfiltra verso server remoti e poi cancella le tracce dal dispositivo. Secondo il rapporto pubblicato da Lookout: "DarkSword appare prendere un approccio 'hit-and-run' raccogliendo ed esfiltrando i dati obiettivo dal dispositivo entro pochi secondi o al massimo minuti, seguito dalla pulizia".

La capacità di evasione forense rende DarkSword particolarmente insidioso: come sottolineato da Malwarebytes, "Poiché Ghostblade cancella le proprie tracce dopo aver sottratto tutte le informazioni, può passare molto tempo prima che le vittime si rendano conto che qualcosa non va e molte vittime potrebbero non scoprire mai di essere state compromesse".

Geografia degli attacchi e attori coinvolti

⬆ Torna su

Le campagne documentate hanno preso di mira utenti in Arabia Saudita, Turchia, Malesia e Ucraina. Secondo Google GTIG, DarkSword è stato utilizzato da molteplici attori, inclusi vendor di sorveglianza commerciale e gruppi sospettati di essere legati a stati nazionali.

Uno degli attori identificati è UNC6353, un gruppo con presunti legami con la Russia che ha utilizzato exploit avanzati per iOS in attacchi watering hole contro siti web ucraini, inclusi portali governativi compromessi. Secondo Lookout, UNC6353 rimane un gruppo in gran parte sconosciuto ma ha dimostrato di utilizzare catene di exploit iOS avanzate in attacchi watering hole. Probabilmente ben finanziato, sembra affidarsi a exploit di terze parti o brokerati, possibilmente collegati agli ecosistemi russi. Il gruppo persegue obiettivi sia di intelligence che finanziari, inclusi asset in criptovalute, suggerendo motivazioni duali.

Google ha inoltre identificato una società turca chiamata PARS Defense come utilizzatore di DarkSword per colpire vittime turche e malesi. Un altro gruppo, tracciato come UNC6748, ha utilizzato un sito web a tema Snapchat per colpire utenti in Arabia Saudita.

L'infrastruttura di UNC6353 è limitata ma mostra un accesso profondo ai siti compromessi. La scarsa offuscamento e i segni di codice assistito da AI suggeriscono competenze interne limitate. Nel complesso, UNC6353 è valutato come un attore capace ma non altamente sofisticato, potenzialmente un proxy allineato con la Russia che combina spionaggio e cybercrime.

Relazione con Coruna e mercato secondario degli exploit

⬆ Torna su

Durante le indagini su Coruna, i ricercatori hanno scoperto infrastrutture correlate collegate all'attore russo UNC6353, inclusi domini simili utilizzati in attacchi contro siti ucraini compromessi. Gli iframe malevoli caricavano script per fingerprinting dei dispositivi e targeting di versioni specifiche di iOS. Analisi successive hanno rivelato una nuova catena di exploit, successivamente battezzata DarkSword, scoperta alla fine del 2025 attraverso la ricerca congiunta di Lookout, iVerify e Google.

Secondo i ricercatori di Google, l'uso di sia DarkSword che Coruna da parte di vari attori dimostra il rischio continuo di proliferazione degli exploit tra attori di diversa geografia e motivazione. DarkSword evidenzia una tendenza problematica: catene di exploit iOS avanzate vengono vendute su un mercato secondario, consentendo anche ad attori meno competenti di lanciare attacchi potenti.

Come osservato nel rapporto di Lookout: "La scoperta di DarkSword come seconda catena di exploit iOS trovata nelle mani di questo attore almeno parzialmente motivato finanziariamente rivela una tendenza preoccupante. Sembra esistere un mercato secondario per catene di exploit tecnicamente sofisticate in cui venditori senza scrupoli sono disposti a servire acquirenti con poche o nessuna preoccupazione per come verranno utilizzate. Questi gruppi possono poi facilmente personalizzare questi kit in malware per i loro scopi specifici, possibilmente con l'aiuto dell'AI".

Risposta di Apple e misure di protezione

⬆ Torna su

Apple ha corretto le vulnerabilità sfruttate da DarkSword attraverso aggiornamenti successivi del sistema operativo. Le patch sono incluse nelle versioni più recenti di iOS, fino ad arrivare a iOS 26.3, e sono state estese anche ai dispositivi più datati tramite aggiornamenti dedicati per iOS 15 e 16 rilasciati a marzo 2026.

In un documento di supporto intitolato "Update iOS to protect your iPhone from web attacks", Apple ha dichiarato: "I ricercatori di sicurezza hanno recentemente identificato attacchi basati sul web che prendono di mira versioni obsolete di iOS attraverso contenuti web malevoli. Ad esempio, se stai usando una versione precedente di iOS e dovessi cliccare su un link malevolo o visitare un sito web compromesso, i dati sul tuo iPhone potrebbero essere a rischio di furto".

L'azienda ha aggiunto di aver investigato approfonditamente i problemi e rilasciato aggiornamenti software il più rapidamente possibile per le versioni più recenti del sistema operativo per affrontare le vulnerabilità e interrompere tali attacchi. Secondo Apple, i dispositivi aggiornati alle ultime versioni di iOS non risultano vulnerabili.

Safari integra inoltre un sistema di protezione che blocca i domini malevoli identificati durante le indagini. Google ha condiviso gli Indicatori di Compromissione (IOC) e le regole Yara per questo exploit, aggiungendo i domini identificati al programma Safe Browsing.

Per i dispositivi che non possono essere aggiornati, Apple indica come alternativa la modalità Lockdown, progettata per ridurre drasticamente la superficie di attacco, soprattutto in scenari ad alto rischio. La modalità Lockdown blocca questi attacchi anche su sistemi più datati, sebbene gli aggiornamenti rimangano fortemente raccomandati.

Implicazioni per la sicurezza mobile

⬆ Torna su

La particolarità di DarkSword risiede nel suo focus su versioni recenti di iOS: questo dato contrasta con la percezione ancora diffusa che iPhone sia automaticamente protetto da campagne di spionaggio di alto livello. L'attacco dimostra che l'ecosistema Apple è ormai un bersaglio prioritario per gruppi avanzati di cyber-spionaggio e cyber-crimine, soprattutto quando si parla di obiettivi di valore.

Le campagne individuate puntano a versioni di iOS relativamente recenti, segno che lo sviluppo dell'exploit è stato progettato per colpire la base installata attuale. Questo amplia il bacino potenziale di dispositivi esposti: diverse centinaia di milioni di iPhone nel mondo, non solo in aree specifiche. Sebbene molte attività siano state rilevate in paesi coinvolti in tensioni geopolitiche, uno spyware con queste caratteristiche può diffondersi e raggiungere target in Europa, Italia inclusa.

La complessità di DarkSword suggerisce il coinvolgimento di attori ben finanziati e organizzati: gruppi di spionaggio legati a interessi statali o cyber-criminali di fascia alta. Lo sviluppo di una catena di exploit per iOS, l'infrastruttura di comando e controllo e l'uso in contesti sensibili indicano obiettivi che vanno oltre la semplice truffa al singolo utente.

Per utenti e organizzazioni, le misure di difesa raccomandate includono: l'aggiornamento immediato di iOS oltre la versione 18.7, la riduzione dell'uso di app non indispensabili legate a criptovalute sui telefoni personali, l'attivazione dell'autenticazione a più fattori e il monitoraggio di accessi e movimenti sospetti sugli account sensibili.

Aggiornare oltre iOS 18.7 riduce drasticamente l'esposizione all'exploit. Ghostblade può sottrarre comunicazioni, foto, dati sanitari, cronologia posizioni, credenziali Wi-Fi e contenuti del portachiavi, permettendo accessi non autorizzati a servizi, account e reti personali o aziendali. DarkSword identifica app di exchange e wallet, consentendo il furto diretto di criptovalute e la profilazione di obiettivi con patrimonio digitale elevato per attacchi successivi mirati.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La scoperta di DarkSword evidenzia una frammentazione del panorama delle minacce iOS: exploit chain avanzate sono ormai accessibili anche ad attori con risorse tecniche limitate tramite mercati secondari.

• Scenario 1: La disponibilità di exploit chain su mercati secondari potrebbe permettere a un numero crescente di attori di condurre attacchi sofisticati, riducendo la distinzione tra stati nazionali e gruppi cybercriminali.
• Scenario 2: L'approccio "hit-and-run" adottato da DarkSword potrebbe diventare un modello per future minacce mobile, privilegiando l'evasione forense sulla persistenza prolungata.
• Scenario 3: La correlazione tra DarkSword e Coruna suggerisce che altri exploit kit potrebbero emergere dalla stessa rete di fornitori, estendendo il rischio a versioni di iOS diverse.

Cosa monitorare

⬆ Torna su

• L'eventuale diffusione di varianti delle famiglie GHOSTBLADE, GHOSTKNIFE e GHOSTSABER verso nuove piattaforme o versioni del sistema operativo.
• Le attività di UNC6353 e PARS Defense, gruppi che combinano obiettivi di intelligence con interessi finanziari.
• Il tasso di adozione delle patch di Apple nelle aree geografiche colpite, dove dispositivi non aggiornati restano esposti.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.libero.it/tecnologia/darksword-exploit-ios-safari-attacco-iphone-soluzione-114246
• https://securityaffairs.com/189716/security/apple-urges-iphone-users-to-update-as-coruna-and-darksword-exploit-kits-emerge.html
• https://assodigitale.it/iphone-a-rischio-sicurezza-critica-se-non-aggiornati-subito-perche-intervenire-ora-protegge-i-tuoi-dati/
• https://socialandtech.net/darksword-il-nuovo-spyware-che-fa-tremare-lecosistema-iphone/
• https://9to5mac.com/2026/03/19/google-reveals-another-exploit-chain-affecting-outdated-iphones/
• https://www.infosectoday.io/darksword-emerges-as-powerful-ios-exploit-tool-in-global-attacks/
• https://www.techradar.com/pro/security/this-new-darksword-ios-exploit-can-steal-almost-everything-from-your-iphone-heres-what-we-know