DarkSword: la nuova exploit chain che minaccia milioni di iPhone

Google Threat Intelligence Group ha scoperto DarkSword, una catena di attacco che sfrutta sei vulnerabilità per compromettere iPhone con iOS 18.

Un mese fa era Coruna. Oggi c’è DarkSword. Nel giro di trenta giorni, i ricercatori di Google Threat Intelligence Group (GTIG), Lookout e iVerify hanno portato alla luce due distinte catene di attacco capaci di compromettere completamente un iPhone, senza che l’utente debba fare nulla di sbagliato se non visitare la pagina sbagliata.

Cos’è DarkSword
Come funziona la catena d’attacco
Il payload Ghostblade
Le campagne di DarkSword
Come proteggere il proprio iPhone

DarkSword la exploit chain che compromette iPhone su iOS 18 sfruttando sei vulnerabilità

Ciò che colpisce non è soltanto la complessità della tecnica, ma la sua proliferazione tra attori diversi. DarkSword non appartiene a un singolo gruppo, ma è stato adottato da vendor di sorveglianza commerciale, da gruppi con probabili legami con stati nazionali e da attori con motivazioni che spaziano dallo spionaggio al furto finanziario.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è DarkSword

Come anticipato in fase di apertura, DarkSword è una exploit chain per dispositivi Apple iOS, progettata per compromettere completamente un iPhone a partire da una singola visita a un sito web. Non richiede che l’utente installi nulla, apra allegati o inserisca credenziali: basta che il browser Safari carichi una pagina che incorpora il codice malevolo. Da quel momento, la catena si attiva in autonomia, attraversa più stadi di compromissione e deposita i propri payload sul dispositivo.

La scoperta, attribuita ai ricercatori di Lookout, è avvenuta in maniera quasi incidentale. Mentre analizzavano l’exploit kit Coruna, si sono imbattuti in un’infrastruttura separata, con caratteristiche tecniche distinte, che hanno poi condiviso con GTIG e iVerify per un’analisi congiunta. Il risultato è stato un report coordinato, pubblicato il 19 marzo 2026, che documenta mesi di attività attribuibili a più gruppi distinti.

I dispositivi vulnerabili sono quelli che eseguono versioni di iOS comprese tra iOS 18.4 e iOS 18.7. Secondo le stime di iVerify, si tratta di circa 270 milioni di iPhone nel mondo. Apple ha già rilasciato le patch necessarie nelle versioni più recenti del sistema operativo, ma la percentuale di dispositivi non aggiornati rimane comunque molto alta.

Come funziona la catena di attacco

DarkSword è un attacco di tipo waterhole, in cui, anziché raggiungere la vittima con un’e-mail o un messaggio, gli attaccanti compromettono siti web legittimi o allestiscono pagine decoy. In alcuni casi si tratta di cloni visivi di applicazioni note come Snapchat, che attendono solo una visita da parte degli utenti più incauti. Nel momento in cui Safari carica la pagina su un dispositivo vulnerabile, un iframe malevolo avvia l’attacco a catena.

Questa sequenza sfrutta sei vulnerabilità concatenate, che coprono tre livelli distinti del sistema operativo. Vediamoli più nel dettaglio.

JavaScriptCore

Il primo livello coinvolge direttamente il motore JavaScript utilizzato da Safari e da tutti i browser su iOS. A seconda della versione di iOS in esecuzione sul dispositivo, DarkSword sfrutta una di due vulnerabilità distinte: CVE-2025-31277, un bug di ottimizzazione JIT con type confusion corretto in iOS 18.6, oppure CVE-2025-43529, un bug nella gestione del garbage collector nel layer DFG JIT, corretto in iOS 18.7.3. Entrambe permettono di costruire primitive di lettura e scrittura arbitraria in memoria, il punto di partenza per qualsiasi compromissione più profonda.

Sandbox Evasion

I processi web in iOS operano in un ambiente isolato che impedisce loro di accedere direttamente al resto del sistema. DarkSword aggira questa restrizione in due passaggi: prima sfrutta CVE-2025-14174, una corruzione di memoria nel componente ANGLE della GPU, per spostarsi dal processo WebContent al processo GPU. Da lì, utilizza CVE-2025-43510 per transitare ulteriormente nel processo mediaplaybackd. Questa sequenza a due stadi è la stessa indipendentemente da quale delle due vulnerabilità JavaScriptCore viene usata nella fase iniziale.

Kernel Privilege Escalation

Una volta all’interno di mediaplaybackd, la vulnerabilità CVE-2025-43520 consente di ottenere capacità di lettura e scrittura arbitraria nella memoria kernel e di eseguire codice arbitrario con privilegi di sistema. L’intera catena culmina nell’esecuzione dei payload finali, distribuiti come codice JavaScript iniettato direttamente nei processi legittimi del sistema.

Ciò che distingue DarkSword dagli altri attacchi, è la sua natura fileless. Non nstalla applicazioni visibili, non crea file persistenti sul dispositivo e, una volta completata l’esfiltrazione, cancella le proprie tracce. In questo modo la vittima non si accorge assolutamente di nulla.

Il payload Ghostblade

A seconda del gruppo che lo impiega e degli obiettivi della campagna, DarkSword distribuisce tre payload distinti, identificati dai ricercatori con i nomi di Ghostblade, Ghostknife e Ghostsaber. Tuttavia, solo il primo risulta il più utilizzato

Ghostblade gode di una documentazione molto dettagliata e risulta impiegato nelle campagne attribuite al gruppo filo-russo UNC6353. Si tratta di un data-stealer scritto in JavaScript, progettato per raccogliere e trasmettere a un server remoto un volume molto ampio di informazioni. Tra quelle individuate si citano:

messaggi SMS e iMessage;
cronologia delle chiamate;
rubrica;
password Wi-Fi;
cookie e cronologia di navigazione di Safari;
dati di localizzazione;
note, calendario, foto e file su iCloud Drive;
e-mail;
conversazioni su Telegram e WhatsApp.

Ghostblade è progettato specificamente anche per individuare wallet e applicazioni di criptovalute. Una volta attivo, va alla ricerca delle app di exchange come Coinbase, Binance e Kraken, oltre a wallet come Ledger, MetaMask ed Exodus. Come già detto, al termine dell’operazione il payload cancella i propri file temporanei e si disattiva.

Le campagne di DarkSword

Le campagne osservate da GTIG mostrano un quadro geografico e motivazionale articolato. In Ucraina, UNC6353 ha compromesso almeno due siti web, tra cui uno governativo, utilizzandoli come vettori di infezione. In Arabia Saudita, un secondo gruppo identificato come UNC6748 ha allestito un sito clone di Snapchat per attirare le vittime. In Turchia e Malesia, le campagne sono state attribuite a clienti del vendor di sorveglianza commerciale PARS Defense, con un’implementazione più attenta alla sicurezza operativa: traffico cifrato con ECDH e AES e selezione automatica del payload in base alla versione iOS rilevata sul dispositivo.

Il fatto che DarkSword sia già nelle mani di più attori con origini e motivazioni diverse è, secondo i ricercatori, il segnale più preoccupante. La proliferazione di uno strumento di questo livello, che in condizioni normali richiederebbe ingenti risorse per essere sviluppato, suggerisce che stia circolando attivamente tra chi opera nel mercato degli exploit commerciali per iOS.

Come proteggere il proprio iPhone

La buona notizia è che tutte e sei le vulnerabilità sfruttate da DarkSword sono state corrette da Apple. La misura più efficace, nonché l’unica davvero risolutiva, è aggiornare iOS all’ultima versione disponibile per il proprio dispositivo.

Aggiornare iOS immediatamente. Le versioni sicure sono iOS 18.7.6 per i dispositivi che non supportano iOS 26, e iOS 26.3.1 per quelli compatibili. Apple ha inoltre rilasciato un aggiornamento di sicurezza per iOS 15 e iOS 16, estendendo la protezione ai dispositivi più datati.
Attivare la navigazione sicura di Safari. Il filtro Safe Browsing di Safari è attivo per impostazione predefinita e blocca i domini malevoli già identificati nelle campagne DarkSword. Verificare che non sia stato disattivato nelle impostazioni del browser.
Attivare la modalità Lockdown per i profili a rischio elevato. Giornalisti, attivisti, ricercatori e chiunque abbia accesso a informazioni sensibili dovrebbe considerare l’attivazione della Lockdown Mode. Questa riduce di gran lunga l’esposizione ai contenuti malevoli presenti sul web, a scapito di alcune funzionalità del dispositivo.
Non rimandare gli aggiornamenti di sistema. Il ritardo negli aggiornamenti trasforma sempre un dispositivo in un bersaglio. Le patch che correggono le sei CVE coinvolte erano disponibili prima che le campagne venissero rese pubbliche. Chi aveva aggiornato era già protetto.

In conclusione

DarkSword è una catena di attacco matura, già in uso da mesi, adottata da più gruppi con risorse e obiettivi diversi, capace di compromettere completamente un iPhone senza lasciare tracce visibili. La sua scoperta a dir poco casuale, è la dimostrazione che il mercato degli exploit commerciali per iOS è più attivo e accessibile di quanto si possa pensare.

Aggiornare il roprio dispositivo rimane la risposta più concreta e immediata. Ma l’elemento su cui vale la pena riflettere è un altro: per la seconda volta in un mese, una catena di attacco di questo livello è emersa grazie a errori operativi di chi la gestiva. Senza quei passi falsi, DarkSword potrebbe essere rimasto nell’ombra ancora a lungo.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.