Investigadores de ciberseguridad de Google, junto con iVerify y Lookout, han alertado sobre un nuevo exploit dirigido a dispositivos iPhone, denominado DarkSword. Este spyware aprovecha vulnerabilidades en iOS 18 para robar datos del smartphone simplemente con visitar una página web, lo que podría afectar a millones de usuarios que aún utilizan estas versiones del sistema operativo.
DarkSword actúa sin necesidad de instalar archivos adicionales o realizar intrusiones complejas. En su lugar, explota hasta seis vulnerabilidades de día cero para comprometer completamente los dispositivos, controlando procesos legítimos del sistema operativo, robando información en cuestión de minutos y, posteriormente, borrando cualquier rastro de su actividad.
Según el informe conjunto del Grupo de Inteligencia de Amenazas de Google (GTIG) con iVerify y Lookout, el ataque de DarkSword despliega tres familias de malware distintas: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER. Este exploit guarda similitudes con el kit de exploits Coruna para iOS, que fue corregido recientemente.
DarkSword es compatible con versiones de iOS desde la 18.4 hasta la 18.7. IVerify estima que hasta 270 millones de dispositivos a nivel global aún ejecutan estas versiones, lo que representa un riesgo significativo para los usuarios.
Robo de datos con solo visitar una web infectada
Los investigadores explican que para que los atacantes desplieguen DarkSword en un iPhone, basta con que la víctima visite un sitio web específico. Estos sitios web legítimos han sido infectados con un iframe malicioso que contiene DarkSword. Al cargar la página en el iPhone, el ataque se inicia sin necesidad de intervención adicional por parte del usuario. En un ataque identificado en noviembre, los atacantes utilizaron una página web relacionada con la red social Snapchat.
La herramienta accede al dispositivo utilizando procesos legítimos del sistema, comenzando a nivel de Webkit y descendiendo hasta el kernel para comprometer completamente el iPhone. Como resultado, recopila datos masivos, incluyendo contraseñas de WiFi, mensajes de texto, historial de llamadas, ubicación, datos de la tarjeta SIM y la información de billeteras de criptomonedas, entre otros datos sensibles.
Este proceso se completa en pocos minutos y, al no requerir la instalación de archivos, desaparece al reiniciar el dispositivo, borrando cualquier evidencia de su presencia.
Campañas de espionaje de actores patrocinados por estados
El uso de DarkSword se remonta al menos a noviembre de 2025, cuando GTIG observó que varios proveedores de vigilancia comercial y presuntos actores patrocinados por estados lo utilizaron en campañas de espionaje dirigidas a objetivos en Arabia Saudita, Turquía, Malasia y Ucrania.
Google ha identificado al grupo ruso UNC6353 como uno de los actores maliciosos que ha incorporado DarkSword a sus campañas de ataque, después de haber utilizado previamente Coruna contra objetivos en Ucrania.
La exposición del código de DarkSword por parte de algunos hackers ha permitido a los investigadores de seguridad comprender su funcionamiento y su accesibilidad a través de sitios web infectados.
GTIG informó a Apple sobre las vulnerabilidades utilizadas en los ataques de DarkSword a finales de 2025, y Apple las corrigió completamente con el lanzamiento de iOS 26.3. Sin embargo, los usuarios que continúen utilizando las versiones afectadas de iOS 18.4 a 18.7 siguen siendo vulnerables. Por lo tanto, se recomienda actualizar los dispositivos a la última versión de iOS. Google también ha añadido los dominios involucrados en la distribución de DarkSword a su servicio de Navegación segura para proteger a los usuarios en tiempo real.
