Se ha encontrado una herramienta de spyware recién identificada conocida como Darksword que tiene como objetivo iPhones de Apple, y los investigadores relacionan la actividad con campañas que involucran sitios web comprometidos en Ucrania. El exploit fue descubierto por las empresas de ciberseguridad Lookout e iVerify, junto con investigadores de Google, quienes afirmaron que la herramienta es capaz de extraer datos sensibles de los dispositivos afectados.
Según el análisis, el spyware se desplegó a través de decenas de sitios web que habían sido inyectados con código malicioso. Los usuarios que visitan estos sitios con iPhones vulnerables podrían infectarse sin interacción adicional. La actividad se centró en dispositivos que ejecutaban las versiones de iOS 18.4 a 18.6.2, que se lanzaron entre marzo y agosto de 2025.
Los investigadores afirmaron que el exploit permite acceder a una amplia variedad de información almacenada en los dispositivos, incluyendo mensajes, datos de ubicación y detalles de monederos de criptomonedas. La herramienta funciona explotando múltiples vulnerabilidades en el sistema operativo, permitiendo a los atacantes recuperar datos una vez establecido el acceso.
La campaña no se limita a Ucrania. Los investigadores informaron que se ha observado una actividad similar en otros países, incluyendo Arabia Saudí, Turquía y Malasia. Algunos casos se han asociado con proveedores comerciales de vigilancia, mientras que otros están vinculados a actores sospechosos de alineación con el Estado.
Los investigadores también señalaron que el spyware estaba alojado en una infraestructura previamente utilizada para otro exploit de iPhone conocido como Coruña, lo que indica solapamiento entre diferentes campañas y herramientas. Los hallazgos apuntan a un uso continuado de técnicas avanzadas de explotación en múltiples grupos de amenaza.
Apple ha publicado actualizaciones de seguridad que abordan las vulnerabilidades utilizadas por Darksword. Sin embargo, los investigadores estiman que entre 220 y 270 millones de dispositivos podrían seguir expuestos debido a que los usuarios no actualizan su software.
La investigación identificó múltiples campañas activas que usaban el exploit, con atacantes que entregaban el spyware a través de una infraestructura web comprometida. Los investigadores señalaron que la actividad refleja el uso continuo de métodos de ataque basados en navegador dirigidos a dispositivos móviles.