DarkSword es un exploit kit avanzado para iOS identificado por investigadores de Lookout, iVerify y Google Threat Intelligence Group (GTIG), capaz de tomar el control casi total de un iPhone con una mínima interacción del usuario. La herramienta se dirige a dispositivos con iOS 18.4–18.7 y se activa principalmente a través del navegador Safari, situándose en la misma liga que las plataformas de spyware comercial utilizadas en operaciones estatales y campañas altamente dirigidas.
DarkSword y el alcance real de las vulnerabilidades en iOS
El kit se apoya en una cadena de seis vulnerabilidades críticas de iOS: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 y CVE-2025-43520. Todas han sido ya corregidas en versiones recientes del sistema, pero la superficie de ataque sigue siendo enorme debido a la lenta adopción de actualizaciones.
Datos de iVerify estiman que aproximadamente el 14,2% del parque de iPhone —unos 221,5 millones de dispositivos— continúa ejecutando versiones vulnerables. Si se asume que el problema afecta a todas las compilaciones de iOS 18, el número potencial de equipos en riesgo podría ascender hasta unos 296 millones de iPhone en todo el mundo. Este volumen convierte a DarkSword en una amenaza comparable a las soluciones de spyware más conocidas del mercado.
Vínculos con la plataforma Coruna y una infraestructura modular de exploits
El análisis de la infraestructura de mando y control ha revelado solapamientos significativos entre DarkSword y la plataforma de exploits Coruna. La coincidencia de dominios, certificados y patrones de despliegue apunta a que ambos forman parte de un mismo arsenal o de un mismo proveedor de spyware comercial.
Esta arquitectura modular facilita la reutilización de vulnerabilidades y la rápida adaptación del kit a nuevas versiones de iOS. Más que una campaña aislada, los investigadores describen un ecosistema maduro de explotación de móviles, diseñado para ser mantenido y ampliado en el tiempo con nuevos módulos y cadenas de ataque.
Cadena de ataque de DarkSword: de Safari al núcleo XNU
La infección comienza cuando la víctima visita un sitio malicioso o comprometido mediante Safari. DarkSword explota fallos en el motor JIT (Just-In-Time) de JavaScript, lo que permite al atacante conseguir lectura y escritura arbitrarias en la memoria del proceso del navegador. Desde ese punto, el código malicioso gana capacidad para manipular estructuras internas y preparar el salto a etapas posteriores.
El siguiente paso consiste en evitar las defensas propias de iOS, como TPRO y PAC (Pointer Authentication Codes). Estas tecnologías están diseñadas para impedir la corrupción de punteros y el uso de direcciones de memoria no autorizadas, pero DarkSword incorpora técnicas específicas para burlarlas. Después, el kit ejecuta un escape de sandbox a través de una vulnerabilidad en ANGLE, el componente encargado de la capa de abstracción gráfica.
La fase final es una escalada de privilegios hasta el núcleo XNU, el kernel de iOS. Una vez comprometido el kernel, el atacante obtiene un control prácticamente ilimitado sobre el dispositivo: acceso a datos, modificación de configuraciones de seguridad y despliegue de cargas adicionales.
Un aspecto distintivo es que todo el exploit kit está implementado en JavaScript. El “orquestador” inyecta su propio entorno de ejecución JS en servicios de sistema privilegiados como App Access, Wi‑Fi, Springboard, Keychain e iCloud. Así, un único exploit web puntual se transforma en una plataforma completa para operaciones de robo de información a gran escala.
Datos que roba DarkSword y familias de malware asociadas
DarkSword prioriza la exfiltración rápida de un amplio rango de información sensible, entre la que destacan:
— credenciales y contraseñas;
— fotografías y contenido multimedia;
— bases de datos de WhatsApp y Telegram;
— SMS, contactos, registros de llamadas e historial de navegación;
— cookies de sesión y datos de Apple Health;
— notas, calendarios y contraseñas de redes Wi‑Fi;
— monederos de criptomonedas (Coinbase, Binance, Ledger, entre otros).
Tras completar la exfiltración, el kit elimina artefactos temporales y cesa su actividad, lo que indica un diseño orientado a robos discretos y de corta duración más que a una presencia persistente prolongada.
A través de DarkSword se distribuyen al menos tres familias de malware:
GHOSTBLADE: infostealer en JavaScript con especial atención a activos en criptomonedas;
GHOSTKNIFE: backdoor con funcionalidades ampliadas para la extracción de datos;
GHOSTSABER: backdoor en JavaScript con capacidades de exfiltración y ejecución remota de código.
Grupos que ya explotan DarkSword y escenarios de ataque observados
GTIG ha documentado el uso de DarkSword en operaciones reales desde al menos noviembre de 2025. El primer actor atribuido, UNC6748, apuntó a usuarios en Arabia Saudí mediante un falso sitio de Snapchat.
Posteriormente, el exploit kit fue vinculado con el proveedor turco de spyware comercial PARS Defense, que lo habría empleado contra objetivos en Turquía y Malasia. Desde diciembre de 2025, la agrupación UNC6353 lo ha utilizado en watering hole attacks contra objetivos ucranianos, inyectando iframes maliciosos en webs legítimas como el portal “Noticias de Donbás” y el sitio del Séptimo Tribunal Administrativo de Apelación en Vinnytsia.
UNC6353 se ha apoyado principalmente en GHOSTBLADE, un módulo sin backdoor clásico pero con un fuerte enfoque en el robo de criptomonedas, lo que sugiere una combinación de motivaciones de espionaje y financieras en estas operaciones.
Indicios de uso de IA generativa y madurez de la plataforma
El código de DarkSword y Coruna contiene comentarios extensos y detallados que describen el funcionamiento interno de cada componente. Este patrón es característico de código asistido por herramientas LLM (Large Language Models), ampliamente usadas hoy para acelerar el desarrollo, incluso en contextos maliciosos.
Lookout describe DarkSword como una plataforma profesionalmente diseñada, pensada para un mantenimiento a largo plazo y la rápida incorporación de nuevos módulos. Para el ecosistema de seguridad móvil, supone la consolidación de otro actor fuerte en el mercado de spyware comercial contra iOS.
Para reducir el riesgo de compromiso, se recomienda a todos los usuarios de iPhone actualizar de inmediato a iOS 26.3.1 o 18.7.6, versiones en las que se han corregido las vulnerabilidades explotadas por DarkSword. Es igualmente aconsejable evitar enlaces de origen dudoso, revisar periódicamente los perfiles de configuración instalados, limitar el uso de navegadores y VPN de terceros sin reputación clara y mantenerse alerta frente a campañas de phishing dirigidas. La combinación de dispositivos actualizados, buenas prácticas digitales y formación continua en ciberseguridad sigue siendo la defensa más efectiva frente a exploit kits tan avanzados como DarkSword.
