Un nuovo strumento spyware noto come Darksword è stato trovato che prende di mira gli iPhone Apple, con i ricercatori che collegano l’attività a campagne che coinvolgono siti web compromessi in Ucraina. L’exploit è stato scoperto dalle aziende di cybersecurity Lookout e iVerify, insieme a ricercatori di Google, che hanno affermato che lo strumento è in grado di estrarre dati sensibili dai dispositivi interessati.
Secondo l’analisi, lo spyware è stato distribuito tramite decine di siti web che erano stati inseriti con codice malevolo. Gli utenti che visitano questi siti con iPhone vulnerabili potrebbero essere infettati senza ulteriori interazioni. L’attività si è concentrata sui dispositivi con iOS versioni 18.4 a 18.6.2, rilasciate tra marzo e agosto 2025.
I ricercatori hanno affermato che l’exploit consente l’accesso a una vasta gamma di informazioni memorizzate sui dispositivi, inclusi messaggi, dati di localizzazione e dettagli del wallet di criptovalute. Lo strumento opera sfruttando molteplici vulnerabilità del sistema operativo, consentendo agli attaccanti di recuperare i dati una volta stabilito l’accesso.
La campagna non è limitata all’Ucraina. Gli investigatori hanno riferito che attività simili sono state osservate in altri paesi, tra cui Arabia Saudita, Turchia e Malesia. Alcuni casi sono stati associati a fornitori di sorveglianza commerciali, mentre altri sono collegati a attori sospetti allineati con lo stato.
I ricercatori hanno anche notato che lo spyware era ospitato su infrastrutture precedentemente utilizzate per un altro exploit dell’iPhone noto come Coruna, indicando una sovrapposizione tra diverse campagne e strumenti. I risultati indicano un uso continuo di tecniche avanzate di sfruttamento in diversi gruppi di minaccia.
Apple ha rilasciato aggiornamenti di sicurezza per affrontare le vulnerabilità utilizzate da Darksword. Tuttavia, i ricercatori stimano che tra 220 milioni e 270 milioni di dispositivi possano rimanere esposti a causa dell’aggiornamento del software da parte degli utenti.
L’indagine ha identificato molteplici campagne attive che utilizzano l’exploit, con attaccanti che hanno consegnato lo spyware attraverso infrastrutture web compromesse. I ricercatori hanno affermato che l’attività riflette l’uso continuo di metodi di attacco basati su browser per mirare ai dispositivi mobili.