Expertos de Google Threat Intelligence Group (GTIG), junto con las firmas de ciberseguridad iVerify y Lookout, han analizado una serie de ataques dirigidos a objetivos en Ucrania, atribuidos a un grupo de hackers identificado como UNC6353. Sus hallazgos revelan que la última campaña, que utiliza un conjunto de herramientas llamado Darksword, está relacionada con una operación detectada a principios de marzo de 2026. Este grupo, vinculado al gobierno ruso, emplea Darksword, un sofisticado y difícil de detectar spyware para iOS.
El malware para iPhone podría ser más común de lo que se pensaba. El sistema operativo presenta vulnerabilidades conocidas por los hackers, pero probablemente desconocidas para Apple. Este conocimiento podría ser objeto de comercio ilegal.
Este incidente se produce tras la revelación por parte de Google de detalles sobre otro conjunto de herramientas para hackear iPhones llamado Coruna. Originalmente desarrollado por el contratista de defensa estadounidense L3Harris para los gobiernos de la alianza Five Eyes (Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda), finalmente cayó en manos de espías rusos y ciberdelincuentes chinos. Los expertos sospechan que la venta de ambos conjuntos de herramientas al lado ruso podría estar relacionada con la misma entidad.
A pesar de sus potentes capacidades, la campaña ha limitado su alcance a usuarios ubicados en territorio ucraniano, en lugar de intentar infectar dispositivos a nivel mundial.
El malware roba datos y criptomonedas
Darksword está diseñado para robar contraseñas, fotos, historial de navegación y contenido de mensajes de aplicaciones como WhatsApp, Telegram y SMS. Esta herramienta no está destinada a la vigilancia a largo plazo como Pegasus, sino que es eficaz en operaciones rápidas de robo de datos. Según los investigadores de Lookout, “el tiempo de permanencia en el dispositivo probablemente se sitúe en el rango de minutos, dependiendo de la cantidad de datos que descubra y extraiga”.
Los expertos señalan que el conjunto de herramientas tiene una estructura modular que permite añadir nuevas funciones, lo que indica un diseño profesional.
Los rusos también disponen de una función para robar criptomonedas de carteras populares. “Esto podría indicar que este atacante está motivado financieramente o, alternativamente, podría indicar que esta actividad, probablemente vinculada al estado ruso, se ha ampliado para incluir robos financieros dirigidos a dispositivos móviles”, señala Lookout en su informe. Aunque este malware tiene estas capacidades, los expertos señalan que no hay pruebas directas de que los hackers prioricen las ganancias financieras.
Hackers rusos atacan solo iPhones en Ucrania
Los especialistas en ciberseguridad que han investigado esta campaña maliciosa coinciden en la identidad de los autores. Vinculan estas acciones con intereses de inteligencia rusos. “UNC6353 es una entidad bien financiada y conectada que representa una amenaza, llevando a cabo ataques para obtener beneficios financieros y espiando según los requisitos de inteligencia de Rusia”, explica el investigador de seguridad Justin Albrecht de Lookout en una conversación con TechCrunch. “Creemos que se puede demostrar que UNC6363 es un posible representante criminal ruso, dado el doble objetivo de robo financiero y recopilación de inteligencia”.
Los ataques que utilizan Darksword no estaban dirigidos con precisión a personas concretas. El spyware infectaba a cualquier usuario de iPhone que visitara determinados sitios web ucranianos, siempre que la conexión se realizara desde territorio ucraniano. Se desconoce por qué el grupo no utilizó la herramienta para espiar en otros países. Lo que sí está claro es que iOS no es completamente seguro. Presenta vulnerabilidades que pueden ser explotadas por los servicios de inteligencia para acceder al dispositivo y robar datos. Estos exploits aprovechan las vulnerabilidades de día cero en iOS, que son raras y costosas, por lo que constituyen una valiosa moneda de cambio en el comercio ilegal.
