Uma ferramenta de spyware recém-identificada, conhecida como Darksword, foi encontrada mirando iPhones da Apple, com pesquisadores relacionando a atividade a campanhas envolvendo sites comprometidos na Ucrânia. O exploit foi descoberto pelas empresas de cibersegurança Lookout e iVerify, junto com pesquisadores do Google, que afirmaram que a ferramenta é capaz de extrair dados sensíveis de dispositivos afetados.
De acordo com a análise, o spyware foi implantado por dezenas de sites que haviam sido injetados com código malicioso. Usuários que visitam esses sites com iPhones vulneráveis podem ser infectados sem interação adicional. A atividade focou em dispositivos rodando iOS versões 18.4 a 18.6.2, lançadas entre março e agosto de 2025.
Pesquisadores disseram que o exploit permite acesso a uma ampla variedade de informações armazenadas nos dispositivos, incluindo mensagens, dados de localização e detalhes de carteiras de criptomoedas. A ferramenta opera explorando múltiplas vulnerabilidades no sistema operacional, permitindo que atacantes recuperem dados assim que o acesso é estabelecido.
A campanha não se limita à Ucrânia. Investigadores relataram que atividades semelhantes foram observadas em outros países, incluindo Arábia Saudita, Turquia e Malásia. Alguns casos foram associados a fornecedores comerciais de vigilância, enquanto outros estão ligados a suspeitos de atuação estatal.
Pesquisadores também observaram que o spyware estava hospedado em uma infraestrutura anteriormente usada em outro exploit do iPhone conhecido como Coruna, indicando sobreposição entre diferentes campanhas e ferramentas. Os achados indicam o uso contínuo de técnicas avançadas de exploração em múltiplos grupos de ameaça.
A Apple lançou atualizações de segurança para tratar das vulnerabilidades usadas pelo Darksword. No entanto, pesquisadores estimam que entre 220 milhões e 270 milhões de dispositivos podem permanecer expostos devido a usuários não atualizarem seus softwares.
A investigação identificou múltiplas campanhas ativas usando o exploit, com atacantes entregando o spyware por meio de infraestrutura web comprometida. Pesquisadores disseram que a atividade reflete o uso contínuo de métodos de ataque baseados em navegador direcionados a dispositivos móveis.