Hackeri sponsorizați de statul rus au început să transforme în armă kitul de exploatare iOS DarkSword, recent scurs online, într-o campanie țintită de spear-phishing, marcând prima incursiune cunoscută a grupului în compromiterea dispozitivelor Apple și conturilor iCloud. Proofpoint a dezvăluit campania vineri, atribuind-o cu grad ridicat de încredere grupului TA446 — un grup de amenințări urmărit și sub denumirile Callisto, COLDRIVER și Star Blizzard, apreciat ca fiind afiliat Serviciului Federal de Securitate al Rusiei (FSB).
Campania a utilizat emailuri false de „invitație la discuții” care imitau Atlantic Council, trimise de la expeditori compromisi pe 26 martie, pentru a livra GHOSTBLADE, un malware de tip dataminer, prin kitul de exploatare DarkSword. Printre destinatari s-a numărat Leonid Volkov, un politician proeminent al opoziției ruse și director politic al Fundației Anti-Corupție. Proofpoint și firma de securitate Malfors au remarcat că vizarea a fost „mult mai amplă decât de obicei”, cuprinzând entități guvernamentale, think tank-uri, instituții de învățământ superior, entități financiare și juridice.
O nouă capabilitate pentru o amenințare cunoscută
TA446 a fost cunoscut de mult timp pentru campaniile de spear-phishing destinate furtului de credențiale, dar adoptarea DarkSword reprezintă o extindere în zona exploatării dispozitivelor mobile. „Nu am observat anterior ca TA446 să vizeze conturile iCloud ale utilizatorilor sau dispozitivele Apple, dar adoptarea kit-ului de exploit iOS DarkSword scurs pe internet a permis acum actorului să vizeze dispozitive iOS”, a declarat Proofpoint. E-mailurile au fost concepute să declanșeze exploitul doar pe iPhone-uri, analiza automată redirecționând browserele non-iOS către un document PDF decoy inofensiv.
Proofpoint a remarcat de asemenea o creștere bruscă a volumului de e-mailuri TA446 în ultimele două săptămâni, cu campanii paralele care implementează un backdoor cunoscut numit MAYBEROBOT prin intermediul fișierelor ZIP protejate cu parolă.
Scurgerea unui kit de exploatare provoacă îngrijorare
DarkSword a fost descoperit pentru prima dată la începutul acestei luni de către Google Threat Intelligence Group, Lookout și iVerify într-o investigație comună. Acesta înlănțuiește șase vulnerabilități — inclusiv trei zero-days — pentru a compromite complet dispozitivele iPhone care rulează iOS 18.4 până la 18.7. Pe 23 martie, TechCrunch a raportat că o versiune mai nouă a fost scursă pe GitHub, o evoluție pe care cercetătorii au avertizat că ar putea „democratiza” accesul la exploatări de nivel de stat-națiune.
„DarkSword infirmă convingerea comună că iPhone-urile sunt imune la amenințările cibernetice”, a declarat Justin Albrecht, cercetător principal la Lookout, adăugând că versiunea scursă permite „chiar și actorilor de amenințare fără competențe să implementeze kitul avansat de spionaj iOS”.
Apple răspunde cu alerte rare pe ecranul de blocare
Apple a început să trimită notificări pe ecranul de blocare către dispozitivele care rulează versiuni mai vechi de iOS, avertizând utilizatorii cu privire la atacuri active bazate pe web și solicitând actualizări imediate. Alertele, raportate inițial de MacRumors, apar pe dispozitive care rulează versiuni începând de la iOS 17.0. Apple a lansat iOS 15.8.7 și iOS 16.7.15 pe 11 martie pentru a extinde protecția către dispozitivele mai vechi, în timp ce utilizatorii cu iOS 13 sau 14 trebuie să actualizeze la iOS 15 pentru a primi patch-urile de securitate. Compania a recomandat, de asemenea, activarea modului Lockdown pentru cei care nu pot actualiza, declarând că „nu are cunoștință de niciun atac reușit cu spyware mercenary împotriva unui dispozitiv Apple cu modul Lockdown activat”.
Surse:
https://www.instagram.com/p/DWa2b1HD66h/
https://thehackernews.com/2026/03/darksword-ios-exploit-kit-uses-6-flaws.html
https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain