iOS 18 sotto attacco: DarkSword ruba crypto e credenziali in pochi minuti senza che l'utente faccia nulla

DarkSword è una exploit chain completa per iPhone, scoperta e analizzata da Lookout Threat Labs in collaborazione con Google Threat Intelligence Group (GTIG) e iVerify. La minaccia è in circolazione almeno dal tardo 2025 e prende di mira dispositivi con iOS tra la versione 18.4 e la 18.6.2. Il vettore di distribuzione sono watering hole allestiti su siti ucraini legittimi compromessi, il che significa che l'utente non deve scaricare nulla né cliccare su link sospetti: basta visitare una pagina che già si frequenta.

La catena di exploit, passo per passo

Tutto inizia con un iframe malevolo iniettato nel codice HTML dei siti compromessi. Quando Safari carica la pagina, viene eseguito uno script JavaScript chiamato rce_loader.js, che effettua il fingerprinting del dispositivo per decidere se instradarlo verso la catena di exploit. Lo script cerca specificamente iPhone con iOS 18.4 o 18.6.2, versioni non vulnerabili a Coruna, il che ha subito segnalato ai ricercatori Lookout di essere di fronte a una minaccia completamente diversa.

La sequenza tecnica è articolata su più livelli. La compromissione parte da Safari: l'exploit esce dalla sandbox WebContent e poi sfrutta WebGPU per iniettare codice nel processo mediaplaybackd. Da qui si ottiene accesso in lettura/scrittura al kernel, che viene usato per infiltrarsi in processi di sistema critici: configd, wifid, securityd e UserEventAgent. Ciascuno di questi processi viene usato per raccogliere e preparare dati sensibili in posizioni accessibili del filesystem. La fase finale prevede l'iniezione di un payload nel processo Springboard, a quel punto i dati vengono esfiltrati verso il server C2.

GTIG ha confermato che l'intera catena sfrutta sei vulnerabilità, di cui tre erano zero-day quando furono usate per la prima volta. Tra queste figura CVE-2026-20700, un bug in dyld usato come bypass dei Pointer Authentication Codes (PAC) per ottenere esecuzione arbitraria di codice in user-mode, patchato da Apple in iOS 26.3.

Crypto wallet nel mirino, dati via in pochi minuti

Il modulo post-exploitation principale, pe_main.js, orchestra un set di moduli secondari. I dati esfiltrati includono email, foto, credenziali, password e chiavi crittografiche, ma ciò che distingue DarkSword da altre minacce mobile è la sua attenzione specifica ai wallet di criptovalute. Gli exchange nel mirino includono Coinbase, Binance, Kraken, Kucoin, OKX e MEXC. Tra i wallet presi di mira: Ledger, Trezor, MetaMask, Exodus, Phantom e Gnosis Safe. Questa doppia capacità (intelligence + furto finanziario) è un indicatore chiave delle motivazioni del gruppo.

Dopo aver completato l'esfiltrazione, DarkSword elimina tutti i file temporanei creati sul filesystem e termina l'esecuzione. Il tutto accade in minuti, a volte secondi. È un approccio da "hit-and-run" che lo distingue nettamente dagli spyware a sorveglianza persistente come Pegasus: non c'è backdoor, non c'è monitoraggio continuativo, c'è un colpo rapido e preciso. Il server C2 identificato è sqwas.shapelie[.]com, un sottodominio creato dal threat actor sul dominio ucraino compromesso shapelie[.]com, con traffico in uscita sulle porte 8881 e 8882 verso un endpoint denominato "DarkSword File Receiver".

I siti ucraini usati come vettore

I siti compromessi identificati come watering hole sono due. Il primo è novosti.dn.ua, l'agenzia di news indipendente "Notizie del Donbas", che copre la situazione al fronte e le questioni sociali nella regione. Il secondo è 7aac.gov.ua, il sito ufficiale della Settima Corte Amministrativa d'Appello ucraina, con sede a Vinnytsia, che esamina le decisioni di tribunali in diverse oblast. Entrambi i siti erano stati usati da UNC6353 anche per distribuire Coruna in campagne precedenti, confermando la continuità dell'infrastruttura operativa del gruppo.

Il dominio di consegna static.cdncounter[.]net è strettamente correlato all'infrastruttura già nota: condivide nameserver, registrar e data di registrazione con cdn.uacounter[.]com, già identificato da Google come dominio di UNC6353. I ricercatori Lookout hanno anche documentato una potenziale infezione a carico di un dipendente di un'azienda manifatturiera del settore alimentare in Ucraina, avvenuta il 12 febbraio 2026.

Chi è UNC6353

UNC6353 è un threat cluster con ogni probabilità allineato agli interessi dell'intelligence russa, ma con caratteristiche atipiche per un APT statale classico. Il gruppo ha accesso a exploit chain di qualità commerciale, strumenti tipicamente sviluppati per vendor di sorveglianza di primo livello (CSV) e probabilmente acquistati sul mercato secondario tramite broker come Matrix LLC / Operation Zero, l'intermediario russo di exploit recentemente sanzionato dal Dipartimento del Tesoro USA per i suoi legami con la gang TrickBot.

L'assenza totale di obfuscation nel codice, la semplicità del DarkSword File Receiver e la presenza di emoji nel codice server-side fanno pensare a scarse risorse ingegneristiche o a una noncuranza deliberata per le misure di OPSEC. Ci sono anche evidenze dell'uso di LLM nella scrittura di almeno parte del payload. I riferimenti a iOS 17.4.1 e 17.5.1 in alcuni file JavaScript indicano che DarkSword è l'evoluzione di un kit precedente, non uno strumento costruito da zero per questa campagna. Google ha identificato altri attori che usano la stessa exploit chain: UNC6748 e PARS Defense, in campagne contro target in Arabia Saudita, Turchia e Malaysia, con famiglie malware denominate GHOSTBLADE, GHOSTKNIFE e GHOSTSABER.

Il mercato secondario degli exploit: il problema strutturale

La scoperta di DarkSword, a poche settimane da quella di Coruna, non è un fatto isolato: è la conferma di un fenomeno strutturale. Esiste un mercato secondario per exploit chain di livello militare in cui i venditori cedono strumenti a gruppi con risorse limitate e obiettivi non strettamente spionativi. In questo caso, la stessa catena è stata usata sia per raccogliere intelligence sia per furti finanziari diretti tramite criptovalute. Il fatto che lo stesso kit possa essere rivenduto a più attori (uno cinese per Coruna, uno russo per DarkSword) riduce progressivamente il confine tra spionaggio statale e criminalità organizzata finanziaria.

Apple ha rilasciato le patch necessarie in iOS 26.1, 26.2 e 26.3: i dispositivi con iOS 26.3 o superiore, oppure iOS 18.7.3 o superiore, non sono vulnerabili. Il problema reale rimane la velocità con cui gli utenti aggiornano i propri device. Gli exploit di DarkSword prendevano di mira versioni di iOS del 2025 ancora ampiamente diffuse, e stime recenti indicano che più di 220 milioni di iPhone siano stati potenzialmente esposti. Questo mette in evidenza la necessità per le organizzazioni di accelerare i cicli di aggiornamento mobile e di dismettere i modelli che non ricevono più patch di sicurezza tempestive.