Scopri anche

• Apple introduce i Background Security Improvement: il nuovo sistema di patch leggere per iOS e macOS
• Nove vulnerabilità CrackArmor in Linux AppArmor espongono oltre 12 milioni di sistemi enterprise
• Vulnerabilità zero-day e malware colpiscono i browser Chromium: analisi delle minacce e confronto tra Chrome ed Edge
• Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
• Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
• Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza
• Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio
• Microsoft Edge 146: patch di sicurezza per vulnerabilità zero-day e nuove funzionalità
• Sony rilascia il firmware 13.50 per PlayStation 4: miglioramenti al sistema e possibili patch di sicurezza
• Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
• Windows 11 KB5079473: 79 vulnerabilità corrette e nuove funzionalità nel Patch Tuesday di marzo 2026
• Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
• Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
• Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate
• Cybersecurity: allerta globale per vulnerabilità Microsoft SharePoint e attacco ransomware VMware ESXi
• Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi
• Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
• L'IA come arma a doppio taglio: l'evoluzione delle minacce cyber e le nuove strategie difensive
• Cybersecurity 2025: il framework Cyber Kill Chain e l'evoluzione delle minacce cloud
• Vulnerabilità software e cybersecurity: come proteggersi dagli attacchi informatici

DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day

DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day

Ricercatori di Google Threat Intelligence Group, Lookout e iVerify hanno individuato DarkSword, un exploit kit per iOS in uso da almeno novembre 2025 che sfrutta sei vulnerabilità per compromettere completamente i dispositivi. Il framework, distribuito a molteplici attori di minaccia tra cui fornitori di spyware commerciali e soggetti legati a stati sovrani, ha preso di mira utenti in Arabia Saudita, Turchia, Malesia e Ucraina.

Il meccanismo tecnico dell'exploit chain

⬆ Torna su

DarkSword colpisce le versioni iOS 18.4-18.7 attraverso una catena di exploit completamente scritta in JavaScript. L'attacco si innesca quando l'utente visita un sito web compromesso: il primo componente è un file HTML malevolo che scarica un file JavaScript, il quale inizializza il processo e installa un payload dannoso.

La catena sfrutta sei vulnerabilità specifiche: CVE-2025-31277 e CVE-2025-43529 (memory corruption in JavaScriptCore per ottenere remote code execution), CVE-2026-20700 (PAC bypass in dyld), CVE-2025-14174 (out-of-bounds write in ANGLE), CVE-2025-43510 (Copy-On-Write vulnerability in AppleM2ScalerCSCDriver), CVE-2025-43520 (escalation dei privilegi nel kernel). L'attaccante ottiene prima primitive di lettura/scrittura arbitraria in memoria, poi bypassa le mitigazioni TPRO e PAC, fugge dal sandbox attraverso il processo GPU, e infine inietta impianti JavaScript in-memory in altri processi di sistema.

Le tre famiglie di malware distribuite

⬆ Torna su

Google ha identificato tre distinte famiglie di malware distribuite dopo il successo dell'exploit chain. GHOSTKNIFE, utilizzato dal cluster UNC6748 tramite un sito tematico Snapchat (snapshare[.]chat), è un backdoor JavaScript in grado di esfiltrare account firmati, messaggi, dati browser, cronologia localizzazione e registrazioni audio. Comunica con il server C2 tramite un protocollo binario personalizzato su HTTP, cifrato con ECDH e AES.

GHOSTSABER, impiegato dal fornitore turco di sorveglianza commerciale PARS Defense in campagne verso Turchia e Malesia, supporta oltre 15 comandi C2 inclusi enumerazione dispositivo, esfiltrazione file, esecuzione di query SQLite arbitrarie e upload di thumbnail delle foto. Alcuni comandi, come la registrazione audio e la geolocalizzazione in tempo reale, non sono ancora implementati nell'implant JavaScript, suggerendo il download di moduli binari a runtime.

GHOSTBLADE, deployato dal sospetto gruppo di spionaggio russo UNC6353 contro utenti ucraini, è un dataminer che raccoglie ed esfiltra un'ampia varietà di dati senza operare persistentemente. Non supporta comandi backdoor interattivi, ma la sua ampiezza nella raccolta dati lo rende utile per operazioni di intelligence gathering.

Attori di minaccia e campagne osservate

⬆ Torna su

Il cluster UNC6748 ha utilizzato DarkSword più volte nel novembre 2025 contro utenti sauditi, con una pagina di atterraggio che includeva JavaScript offuscato e controlli anti-debug. Il codice verificava l'esistenza di una chiave di sessione "uid" per evitare di reinfettare le stesse vittime. Successivamente, gli attori hanno aggiunto logica per aprire link in Safari quando la vittima usava Chrome.

PARS Defense ha mostrato maggiore attenzione all'OPSEC: la versione di novembre 2025 cifrava gli stage dell'exploit usando ECDH tra server e dispositivo vittima. La campagna di gennaio 2026 in Malesia includeva fingerprinting aggiuntivo del dispositivo e controlli più sofisticati sul caricamento dei moduli RCE corretti in base alla versione iOS rilevata.

UNC6353, precedentemente associato all'exploit kit Coruna per iOS 13-17, ha incorporato DarkSword in campagne watering hole contro siti ucraini compromessi, inclusi domini governativi. Il codice contiene commenti in russo e il loader supportava solo iOS 18.4-18.6, pur con logica corretta di selezione dei moduli RCE. GTIG ha collaborato con CERT-UA per mitigare questa attività.

Tipologia di dati esfiltrati

⬆ Torna su

Secondo Lookout, DarkSword non è progettato per sorveglianza a lungo termine: una volta completata la raccolta ed esfiltrazione dei dati mirati, elimina i file creati sul filesystem ed esce. Il tempo di permanenza sul dispositivo è stimato in minuti, a seconda della quantità di dati. DarkSword può esfiltrare registri chiamate, contatti, calendari, note, foto, screenshot, cronologia localizzazione, storia browser, account firmati, keychain dispositivo, info SIM, impostazioni Trova il mio iPhone, password WiFi, contenuti iCloud, dati iMessage, email, WhatsApp, Telegram e credenziali di wallet di criptovalute.

GHOSTBLADE cerca inoltre dati di wallet ed exchange associati a Coinbase, Binance, Kraken, KuCoin, OKX, MEXC, Ledger, Trezor, MetaMask, Exodus, Phantom, Uniswap, Gnosis Safe e molti altri. Questo indica che lo strumento può essere usato sia per spionaggio che per furto finanziario.

Stima del numero di dispositivi potenzialmente esposti

⬆ Torna su

Secondo i dati del sito sviluppatori di Apple, circa il 25% di tutti gli iPhone utilizza ancora una versione di iOS 18. Tom's Guide riferisce che questo significa potenzialmente oltre 220 milioni di dispositivi esposti, circa il 14% di tutti gli utenti iOS. Le ricerche di iVerify suggeriscono che solo iOS 18.7 e iOS 26.3 sono sicuri, il che implica che anche versioni precedenti di iOS 26 potrebbero essere sfruttabili.

Mitigazioni e patch disponibili

⬆ Torna su

Apple ha rilasciato patch per tutte le vulnerabilità utilizzate da DarkSword. Secondo Google, la maggior parte delle CVE è stata risolta prima del rilascio di iOS 26.3. Gli utenti con dispositivi compatibili dovrebbero aggiornare a iOS 26.3.1. Per dispositivi più vecchi che supportano iOS 18 ma non iOS 26, iOS 18.7.6 appare sicuro secondo iVerify.

Quando l'aggiornamento non è possibile, è raccomandato abilitare Lockdown Mode, presente da iOS 16 e progettato per fornire maggiore protezione da attacchi informatici avanzati. Google ha inoltre aggiunto tutti i domini di delivery di DarkSword a Safe Browsing. DarkSword e Coruna rappresentano il secondo caso questo mese in cui gruppi criminali diversi utilizzano un singolo exploit kit iOS per spiare gli utenti.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La disponibilità di DarkSword su scala multi-attore segnala un'evoluzione del mercato degli exploit kit mobile, con implicazioni rilevanti per la strategia difensiva.

• Scenario 1: la riutilizzabilità del framework da parte di fornitori di spyware commerciale e attori statuali potrebbe estendere il perimetro geografico delle campagne oltre i territori finora colpiti, replication patterns già osservati con exploit kit precedenti come Coruna.
• Scenario 2: la funzionalità di esfiltrazione credenziali wallet cripto suggerisce una potenziale convergenza tra spionaggio mirato e crimine finanziario, con vittime che potrebbero diventare obiettivi anche per il solo valore economico dei dati custoditi.
• Scenario 3: la progettazione "hit-and-run" con permanenza limitata a minuti potrebbe ridurre l'efficacia dei sistemi di rilevamento tradizionali, lasciando gli attacchi non scoperti fino a quando non emergono danni concreti.

Cosa monitorare

⬆ Torna su

• Percentuale di dispositivi aziendali ancora su iOS 18.4-18.7 rispetto alle versioni patchate.
• Attività di rete verso domini non classificati proveniente da dispositivi mobili gestiti.
• Accessi anomali ad account sensibili o wallet crypto in concomitanza con viaggi in aree geografiche a rischio.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.theregister.com/2026/03/18/darksword_exploit_kit_steals_iphone/
• https://siliconangle.com/2026/03/18/researchers-discover-zero-day-darksword-exploit-chain-ios-18/
• https://mashable.com/article/hackers-target-apple-iphone-darksword-spyware
• https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain
• https://www.tomsguide.com/phones/iphones/more-than-220-million-iphones-under-attack-from-new-darksword-exploit-how-to-stay-safe
• https://www.cryptika.com/new-ios-exploit-with-advanced-iphone-hacking-tools-attacking-users-to-steal-personal-data/
• https://cyberinsider.com/new-ios-exploit-chain-darksword-discovered-on-government-sites/