Per anni il mantra è stato: “iPhone è sicuro”. E, in buona misura, quella reputazione era guadagnata. iOS è uno degli ambienti più hardenizzati in circolazione grazie a una politica di sandbox aggressiva, agli aggiornamenti rapidi e all’ecosistema chiuso.

Eppure, dall’autunno 2025, uno strumento di attacco chiamato DarkSword sta sistematicamente compromettendo iPhone in giro per il mondo e, finora, nessuno se n’era accorto.

A portare alla luce la minaccia è il Google Threat Intelligence Group (GTIG) che ha pubblicato, anche grazie alla collaborazione con i laboratori di Lookout e iVerify, un’analisi tecnica dettagliata di quello che si configura come l’exploit kit iOS più avanzato e pericoloso degli ultimi anni.

I numeri fanno impressione: 6 vulnerabilità concatenate, di cui 3 zero-day (sconosciute ad Apple al momento dello sfruttamento), 3 distinte famiglie di malware dispiegabili a seconda del target e almeno 3 gruppi di attacco indipendenti che stanno usando lo stesso framework con obiettivi, tattiche e vittime diverse. I Paesi già colpiti includono Arabia Saudita, Turchia, Malaysia e Ucraina.

Come funziona DarkSword: la catena di exploit spiegata

In gergo tecnico, DarkSword è un full-chain iOS exploit kit ovvero uno strumento in grado di compromettere completamente un dispositivo partendo da zero, senza alcuna interazione da parte della vittima se non la semplice visita a una pagina web.

Supporta le versioni di iOS dalla 18.4 alla 18.7 e ciò rende la minaccia ancora più grave in quanto questa versione del sistema operativo mobile di Apple risulta essere ancora installata su circa un quarto degli iPhone in tutto il mondo.

La buona notizia è che Apple ha già rilasciato le patch per tutte e sei le vulnerabilità con iOS 26.3. La maggior parte era già stata corretta in versioni precedenti.

La caratteristica tecnica più insolita e più insidiosa di DarkSword è che l’intera catena di exploit è scritta interamente in JavaScript, senza necessità di binari compilati. Questo lo rende più difficile da rilevare dai tradizionali sistemi di analisi e più flessibile da aggiornare e distribuire.

La sequenza di attacco si articola in cinque stadi progressivi:

1. Remote Code Execution in WebKit. Il punto d’ingresso è il motore del browser Safari (recentemente già aggiornato da Apple). In particolare, due vulnerabilità colpiscono JavaScriptCore, il motore JS di WebKit: una CVE già nota (CVE-2025-31277) combinata con la zero-day tracciata come CVE-2025-43529, che sfrutta una corruzione di memoria per ottenere esecuzione di codice arbitrario nel contesto del browser.
2. PAC Bypass nel linker dinamico. iOS usa i Pointer Authentication Codes (PAC), una protezione hardware che rende molto più difficile sfruttare le vulnerabilità di memoria. DarkSword aggira questa difesa tramite la CVE-2026-20700, una falla nel linker dinamico dyld, ottenendo l’esecuzione in user-mode senza far scattare i controlli di integrità.
3. Sandbox Escape. Il codice, ora eseguito in user-mode, deve uscire dalla sandbox di Safari per accedere al resto del sistema. DarkSword sfrutta la CVE-2025-14174 (una corruzione di memoria nel layer grafico ANGLE utilizzato per la gestione GPU) per evadere la sandbox attraverso i processi GPU e Media, due componenti ad alta superficie d’attacco perché processano contenuti non affidabili.
4. Kernel Privilege Escalation. Con la sandbox aggirata, le due vulnerabilità zero-day finali (CVE-2025-43510 e CVE-2025-43520) sfruttano vulnerabilità nel kernel iOS per scalare ai privilegi di sistema completi. A questo punto, il dispositivo è completamente compromesso.
5. Deploy del payload. Il malware finale, uno dei tre a seconda del gruppo attaccante che sfrutta DarkSword, viene installato in modo persistente e inizia la fase di esfiltrazione dei dati.

DarkSword: i tre gruppi di attacco e i tre malware

Uno degli aspetti più allarmanti di DarkSword è la sua proliferazione: non è uno strumento nelle mani di un singolo attore, ma una piattaforma adottata in modo indipendente da almeno tre gruppi criminali con obiettivi e metodologie molto diverse tra loro.

UNC6748 e gli attacchi in Arabia Saudita

Questo gruppo ha utilizzato DarkSword per colpire utenti in Arabia Saudita attraverso un sito fasullo a tema Snapchat (snapshare[.]chat). La landing page era progettata per sembrare autentica, ma nascondeva un loader JavaScript che caricava i moduli RCE tramite un frame invisibile.

Il malware dispiegato è GHOSTKNIFE: esfiltra messaggi, cronologia della posizione, dati del browser, supporta la registrazione audio, scarica file e, dettaglio significativo, elimina attivamente i crash log del dispositivo per nascondere le proprie tracce.

PARS Defense, vendor di sorveglianza commerciale turco

Il secondo attore è un vendor commerciale di spyware identificato come PARS Defense, operante in Turchia e Malaysia.

Questo gruppo ha adottato misure di sicurezza operativa più stringenti tra cui la cifratura avanzata dei payload e il device fingerprinting sofisticato per evitare di infettare dispositivi già compromessi o analisti di sicurezza.

Il malware dispiegato è, in questo caso, GHOSTSABER in grado di comunicare via HTTP(S), eseguire enumerazione dettagliata del dispositivo, esfiltrare file ed eseguire query SQL arbitrarie e JavaScript dinamico. Dunque, uno strumento di spionaggio estremamente versatile.

UNC6353, il gruppo di spionaggio russo

Il terzo attore è un gruppo sospettato di essere di origine russa, già noto per aver usato il precedente exploit kit Coruna.

Questo gruppo ha integrato DarkSword in campagne di watering hole contro siti web ucraini, iniettando script malevoli nelle pagine compromesse per colpire i visitatori.

Dalle analisi tecniche effettuate finora, pare che UNC6353 abbia usato solo i moduli per iOS 18.4 e 18.6, non quello per iOS 18.7, nonostante fossero comunque disponibile: le ragioni dietro questa scelta operativa potrebbero essere di tipo operational security o perché la versione 18.7 non era sufficientemente diffusa tra i target.

Il malware dispiegato è GHOSTBLADE, specializzato nell’estrazione massiva di dati personali da iMessage, Telegram, WhatsApp, portafogli di criptovalute e foto nascoste. Meno versatile come backdoor, ma devastante come data miner.

Cosa viene rubato: l’inventario completo dei dati esfiltrati

La portata della raccolta dati di DarkSword è impressionante e merita un inventario esplicito, perché aiuta a capire cosa è concretamente in gioco:

• Messaggi da iMessage, WhatsApp, Telegram
• Registrazioni audio ambientali
• Cronologia della posizione GPS
• Dati del browser (cookie, history, account salvati)
• Account registrati sul dispositivo
• Portafogli e seed phrase di criptovalute
• File e documenti
• Foto, incluse quelle nell’album “nascosto”
• Query SQL su database applicativi

E la gravità è data dal fatto che non si tratta di metadati, ma del contenuto integrale della vita digitale di una persona.

Le implicazioni per la sicurezza: cosa cambia e cosa fare

Come è evidente, la scoperta di DarkSword ha notevoli implicazioni per la sicurezza degli iPhone. Di conseguenza, è utile adottare delle azioni immediate per mettere in sicurezza i dispositivi.

Aggiornare iOS è l’unica azione difensiva non negoziabile

Apple ha corretto tutte e sei le vulnerabilità sfruttate nell’exploit kit DarkSword. Chi ha già aggiornato a iOS 26.3 (o alle versioni intermedie in cui le patch erano già presenti) è protetto da questo vettore specifico. Chi non lo ha fatto è ancora esposto a un exploit funzionante, attivamente usato in the wild da almeno tre gruppi distinti.

L’azione immediata da compiere consiste dunque nel verificare la versione iOS su tutti i dispositivi aziendali e personali e nell’abilitare gli aggiornamenti automatici. Nei contesti aziendali potrebbe essere utile allineare la policy di Mobile Device Management (MDM) per forzare gli aggiornamenti entro 48 ore dalla release di patch di sicurezza critiche.

Abilitare il Lockdown Mode per i profili ad alto rischio

Per chi è ad alto rischio di attacchi mirati come dirigenti, legali, giornalisti, attivisti, funzionari pubblici e personale aziendale con accesso a informazioni sensibili, la risposta più efficace è abilitare il Lockdown Mode di Apple.

Questa modalità disabilita la compilazione JavaScript e limita le funzionalità web avanzate neutralizzando, di fatto, il vettore primario di DarkSword basato interamente su JavaScript per l’intera catena di exploit.

In questo caso, l’azione immediata nelle organizzazioni che gestiscono profili ad alto rischio è quella di integrare l’attivazione di Lockdown Mode nella policy di sicurezza dei dispositivi mobili. Non è una soluzione per tutti, in quanto riduce alcune funzionalità, ma per chi è un target plausibile di spionaggio di stato o sorveglianza commerciale rappresenta sicuramente la misura di sicurezza più efficace.

Ripensare il modello di rischio per iOS nelle aziende

DarkSword è un zero-click exploit: non richiede che la vittima clicchi su nulla di sospetto, installi nulla, inserisca credenziali: basta visitare una pagina web che può essere un sito di notizie compromesso, un link inviato via messaggio o una pagina pubblicitaria con script iniettati.

Davanti a una minaccia del genere, il modello di rischio che presuppone che “l’utente attento è al sicuro” non regge più.

Dunque, è utile rivedere le policy aziendali sulla navigazione web da dispositivi mobili implementando soluzioni di Mobile Threat Defense (MTD) in grado di rilevare comportamenti anomali post-compromise tra cui l’esfiltrazione di dati, le comunicazioni C2 e la cancellazione di log.

I tool di Mobile Device Management tradizionali non sono sufficienti in uno scenario di full-chain exploit con accesso kernel.

La proliferazione degli exploit kit è il vero cambio di paradigma

La notizia di DarkSword non è solo l’exploit in sé, ma il fatto che uno stesso strumento viene adottato e personalizzato da attori completamente diversi in campagne parallele e indipendenti.

Questo è esattamente il modello che ha caratterizzato l’ascesa di Pegasus di NSO Group: uno strumento di attacco-as-a-service che abbassa drammaticamente la barriera d’ingresso per operazioni di sorveglianza sofisticata.

Le organizzazioni che operano in settori ad alto rischio geopolitico (energia, difesa, finanza, media, PA) dovrebbero quindi integrare metodologie di threat intelligence sugli exploit kit mobile nei propri processi di risk assessment.

DarkSword dimostra che non è più sufficiente monitorare le CVE, ma anche chi usa cosa e in quale contesto.

Il watering hole come vettore silenzioso

La campagna di UNC6353 contro siti ucraini, con iniezione di script malevoli in pagine web legittime già compromesse, è il vettore più insidioso perché non richiede alcuna azione ingannevole verso la vittima. Basta visitare un sito che si visita normalmente.

Questo tipo di attacco è, per definizione, difficile da prevenire a livello utente.

Dunque, nei piani di incident response e nelle checklist di sicurezza mobile è importante aggiungere esplicitamente la verifica di iVerify o strumenti equivalenti per la detection di compromissione iOS.

Risk management: il quadro strategico

Dal punto di vista della gestione del rischio, DarkSword introduce alcune discontinuità che richiedono un aggiornamento dei modelli di rischio esistenti.

La prima riguarda la persistenza dell’esposizione: iOS 18.4 è stato rilasciato nell’aprile 2025, DarkSword è attivo almeno da novembre 2025. Ciò significa che, per un minimo di sei mesi, un exploit full-chain con tre zero-day ha operato in the wild senza che nessuno lo rilevasse pubblicamente.

Questo è il tempo in cui organizzazioni di qualsiasi settore potrebbero essere state compromesse senza saperlo.

Il concetto di “time to detection” per gli exploit mobile è fondamentalmente diverso da quello per gli attacchi network, in quanto un iPhone compromesso con DarkSword di fatto non mostra sintomi visibili.

La seconda riguarda la frammentazione degli attori: quando lo stesso exploit kit viene usato da attori con motivazioni diverse, gli Indicatori di Compromissione (IoC) pubblicati dai vendor di threat intelligence diventano parziali in quanto tipicamente focalizzati su un singolo attore. È necessario correlare i report di più fonti per avere un quadro realistico della superficie di attacco.

La terza riguarda il GDPR e la notifica di data breach: un’organizzazione i cui dipendenti o collaboratori siano stati compromessi da DarkSword ha subito una violazione di dati personali, potenzialmente su scala massiva.

Gli obblighi di notifica all’Autorità Garante privacy entro 72 ore dalla scoperta e agli interessati si applicano anche in questo caso. Il problema è che, senza un programma attivo di mobile threat detection, la scoperta potrebbe avvenire molto tardi o non avvenire affatto.

Il modello “iOS è sicuro” va aggiornato

iOS rimane un sistema operativo fondamentalmente più sicuro della media. Ma DarkSword dimostra che “più sicuro” non significa effettivamente impermeabile alle minacce e che la sofisticazione degli attori che sviluppano e distribuiscono exploit mobile è cresciuta a un livello che richiede risposte proporzionate.

La combinazione di exploit kit-as-a-service, zero-day multipli, payload JavaScript difficili da rilevare e deployment via watering hole disegna uno scenario in cui la superficie d’attacco mobile delle organizzazioni non può più essere gestita con la sola policy di “aggiornate i telefoni”.

Servono una strategia e un processo di security adeguati e, adesso, serve anche un aggiornamento urgente di iOS.