Il Google Threat Intelligence Group (GTIG), in coordinamento con i partner industriali Lookout e iVerify, ha identificato una nuova minaccia che sfrutta molteplici vulnerabilità zero-day per colpire i dispositivi Apple in contesti geopolitici critici. Il panorama della cybersecurity mobile ha registrato una significativa evoluzione con l’identificazione di “DarkSword”, una catena di exploit “full-chain” progettata per compromettere integralmente i dispositivi iOS. Secondo il monitoraggio effettuato dal GTIG, questa minaccia è stata adottata da diversi attori, inclusi fornitori di sorveglianza commerciale e gruppi statali, per colpire obiettivi in Arabia Saudita, Turchia, Malesia e Ucraina. La proliferazione di questo strumento tra attori disparati ricalca modelli già osservati in precedenza, evidenziando un mercato sempre più attivo nello scambio di strumenti di spionaggio digitale avanzato.
I dettagli di DarkSword
Sotto il profilo tecnico, DarkSword è compatibile con le versioni di iOS comprese tra la 18.4 e la 18.7. La catena sfrutta sei diverse vulnerabilità per distribuire payload di fase finale, identificati nelle famiglie malware GHOSTBLADE, GHOSTKNIFE e GHOSTSABER. Tra i gruppi che hanno integrato questo exploit nelle proprie operazioni figura UNC6353, un cluster di minaccia precedentemente associato a campagne di spionaggio, che ha recentemente adottato DarkSword per attacchi di tipo “watering hole”. Le vulnerabilità utilizzate includono falle nella gestione della memoria di JavaScriptCore (CVE-2025-31277 e CVE-2025-43529) e bypass dei Pointer Authentication Codes (PAC) in dyld (CVE-2026-20700).
Un caso studio rilevante riguarda l’attività del gruppo UNC6748, che nel novembre 2025 ha utilizzato un sito contraffatto a tema Snapchat per colpire utenti in Arabia Saudita. Il processo di infezione prevedeva l’uso di JavaScript offuscato e IFrame dinamici per prevenire la reinfezione degli stessi soggetti e ostacolare l’analisi dei ricercatori. “Il loader è stato modificato per recuperare un payload RCE”, simulando il comportamento di applicazioni legittime per mascherare l’esfiltrazione dei dati. Apple ha provveduto a correggere le falle con il rilascio di iOS 26.3, ma la persistenza di tali attacchi sottolinea la necessità di aggiornamenti tempestivi o, in alternativa, dell’attivazione della “Lockdown Mode” per i profili ad alto rischio.
La ricerca collettiva conferma che l’analisi dei dati e delle infrastrutture digitali è fondamentale non solo per la prevenzione, ma come “supporto decisionale in tempo quasi reale”. La telematica e la threat intelligence si confermano strumenti essenziali per comprendere le dinamiche di attacco e proteggere l’integrità dei sistemi operativi mobili su scala globale. Attraverso il lavoro congiunto con iVerify e Lookout, è stato possibile mappare i domini coinvolti e inserirli nei protocolli di Safe Browsing, garantendo una risposta coordinata a una delle minacce più sofisticate degli ultimi anni.
Vuoi ricevere le notifiche sulle nostre notizie più importanti?