Um novo kit de exploração voltado a dispositivos Apple com iOS está sendo usado por múltiplos grupos desde pelo menos novembro de 2025 e acendeu um novo alerta no ecossistema mobile. Batizada de DarkSword, a cadeia de ataque foi identificada em análises do Google Threat Intelligence Group (GTIG), da iVerify e da Lookout. Segundo os levantamentos, a ferramenta foi utilizada em campanhas distintas com alvos na Arábia Saudita, Turquia, Malásia e Ucrânia, combinando espionagem, roubo de informações sensíveis e interesse em ativos ligados ao universo cripto.

A descoberta chama atenção porque o DarkSword surge logo após a revelação do Coruna, tornando-se o segundo kit de exploração para iOS descoberto em cerca de um mês. A nova cadeia foi desenvolvida para atingir iPhones com versões entre iOS 18.4 e 18.7, e teria sido empregada por um grupo suspeito de espionagem russa, identificado como UNC6353, em ataques contra usuários ucranianos. Esse mesmo grupo já havia sido relacionado ao uso do Coruna em campanhas anteriores, por meio da injeção de código JavaScript em sites comprometidos.

As análises indicam que o DarkSword foi projetado para assumir o controle completo do dispositivo e, em seguida, coletar rapidamente o maior volume possível de dados. Diferentemente de spywares tradicionais, que costumam permanecer por longos períodos no aparelho para monitoramento contínuo, essa ferramenta adota uma abordagem de “ataque relâmpago”: invade, coleta, exfiltra e apaga rastros em questão de segundos ou poucos minutos. Esse comportamento sugere um modelo de operação focado em velocidade, furtividade e redução do tempo de permanência no dispositivo invadido.

Entre os dados visados estão credenciais, arquivos do iCloud Drive, contatos, mensagens SMS, histórico do Safari, cookies, fotos, registros de chamadas, senhas de Wi-Fi, histórico de localização, dados de calendário, informações de chip e rede celular, lista de aplicativos instalados, além de conteúdo de apps nativos da Apple, como Notas e Saúde. Também entram na mira dados relacionados a carteiras de criptomoedas, corretoras, Telegram e WhatsApp, o que reforça a possibilidade de uma motivação não apenas ligada à espionagem, mas também a ganhos financeiros.

De acordo com os relatórios, a cadeia de exploração utiliza seis vulnerabilidades para implantar três cargas maliciosas, incluindo três falhas zero-day, exploradas antes da disponibilização de correções pela Apple. As vulnerabilidades associadas ao DarkSword são:

• CVE-2025-31277 — falha de corrupção de memória no JavaScriptCore, corrigida na versão 18.6

• CVE-2026-20700 — bypass de Pointer Authentication Code (PAC) em modo usuário no dyld, corrigido na versão 26.3

• CVE-2025-43529 — falha de corrupção de memória no JavaScriptCore, corrigida nas versões 18.7.3 e 26.2

• CVE-2025-14174 — falha de corrupção de memória no ANGLE, corrigida nas versões 18.7.3 e 26.2

• CVE-2025-43510 — falha de gerenciamento de memória no kernel do iOS, corrigida nas versões 18.7.2 e 26.1

• CVE-2025-43520 — falha de corrupção de memória no kernel do iOS, corrigida nas versões 18.7.2 e 26.1

A Lookout apontou que o DarkSword foi identificado a partir da análise de uma infraestrutura maliciosa associada ao UNC6353. Em um dos domínios comprometidos, foi encontrado um iFrame malicioso responsável por carregar um JavaScript capaz de identificar o dispositivo visitante e verificar se ele deveria ser direcionado à cadeia de exploração para iOS. Ainda não está claro como esses sites foram comprometidos, mas o modelo de operação indica o uso de watering hole, técnica em que páginas legítimas ou populares são infectadas para atingir visitantes de interesse.

O ponto técnico mais relevante é que o JavaScript encontrado procurava especificamente por aparelhos com versões entre iOS 18.4 e 18.6.2, mostrando um foco bem delimitado. Isso diferencia o DarkSword do Coruna, que visava versões mais antigas, entre iOS 13.0 e 17.2.1. Na prática, isso mostra que os invasores estão mantendo arsenais paralelos de exploração, adaptados para diferentes faixas de versões do sistema operacional.

O fluxo do ataque começa quando a vítima acessa, via Safari, uma página com o iFrame malicioso. A partir daí, o DarkSword consegue romper a sandbox do WebContent, que é o processo de renderização do Safari, e usa o WebGPU para injetar código no mediaplaybackd, um daemon do sistema introduzido pela Apple para lidar com funções de reprodução de mídia. Esse movimento abre caminho para o malware identificado como GHOSTBLADE, que passa a acessar processos privilegiados e áreas restritas do sistema de arquivos.

Após a escalada de privilégios, um módulo orquestrador carrega componentes adicionais destinados a coletar dados e inserir uma carga de exfiltração no SpringBoard, interface central do iOS. É essa etapa que permite enviar as informações roubadas para servidores externos por HTTP(S). Segundo a iVerify, a cadeia usa falhas no JavaScriptCore JIT para obter execução remota de código, depois escapa da sandbox por meio do processo de GPU e, por fim, explora vulnerabilidades no kernel para obter leitura, escrita e chamadas arbitrárias de funções dentro do mediaplaybackd.

Outro ponto que chamou atenção foi o grau de sofisticação da plataforma. A ferramenta foi descrita como uma cadeia completa de exploração e roubo de dados escrita em JavaScript, com estrutura modular, o que sugere preocupação com manutenção, extensibilidade e desenvolvimento contínuo. Em outras palavras, não se trata de um código improvisado, mas de uma plataforma ofensiva profissional, capaz de evoluir rapidamente conforme novas necessidades operacionais surgem.

Ao mesmo tempo, os relatórios indicam sinais contraditórios. Apesar da sofisticação da exploração, o código apresenta baixa ofuscação, nomes evidentes em componentes da infraestrutura e falhas de segurança operacional. Isso levanta duas hipóteses: ou o grupo responsável pelo uso do DarkSword não possui recursos robustos de engenharia, ou simplesmente não se preocupou em esconder melhor sua operação. Esse detalhe reforça a avaliação de que o UNC6353 pode ser menos sofisticado tecnicamente do que os desenvolvedores da cadeia de exploração que utiliza, o que fortalece a tese de um mercado secundário de exploits altamente avançados disponível para grupos com diferentes perfis e objetivos.

Os investigadores também encontraram referências a versões iOS 17.4.1 e 17.5.1 nos arquivos JavaScript, sinalizando que o DarkSword pode ter sido adaptado de uma geração anterior da mesma ferramenta ou de uma base técnica já usada contra versões mais antigas do sistema. Isso sugere reaproveitamento de código e evolução incremental da cadeia, prática comum em operações ofensivas maduras.

Além do UNC6353, o uso do DarkSword foi associado a outros dois atores. O primeiro é o UNC6748, que teria atacado usuários na Arábia Saudita em novembro de 2025 por meio de um site temático ligado ao Snapchat, identificado como snapshare[.]chat, para entregar o backdoor em JavaScript GHOSTKNIFE, voltado ao roubo de informações. O segundo caso envolve atividade associada ao fornecedor turco de vigilância comercial PARS Defense, que também teria usado o DarkSword em novembro de 2025 para implantar o backdoor GHOSTSABER, ferramenta capaz de enumerar dispositivos e contas, listar arquivos, exfiltrar dados e executar JavaScript arbitrário.

O Google observou ainda diferenças operacionais entre os atores. Enquanto a atividade atribuída ao UNC6353, em dezembro de 2025, suportava apenas versões entre iOS 18.4 e 18.6, o uso ligado ao UNC6748 e à PARS Defense também incluía aparelhos com iOS 18.7. Esse detalhe mostra que a mesma cadeia de exploração pode circular entre diferentes operadores, com pequenas adaptações, fortalecendo a percepção de que há uma proliferação comercial de capacidades ofensivas avançadas para iPhone.

O alerta mais amplo é que, pelo segundo mês consecutivo, grupos distintos recorreram a watering hole attacks para comprometer usuários de iPhone sem necessariamente exigir interação complexa da vítima. E, segundo a iVerify, esses incidentes não foram campanhas individualizadas contra poucos alvos específicos. A avaliação é de que a combinação entre Coruna e DarkSword pode colocar em risco centenas de milhões de aparelhos sem correção, especialmente aqueles executando versões entre iOS 13 e iOS 18.6.2.

No pano de fundo, o caso reacende um debate cada vez mais sensível no setor: quão grande, estruturado e acessível está o mercado de exploits para iOS, incluindo falhas zero-day e n-day? A circulação de ferramentas como Coruna e DarkSword entre grupos com perfis distintos, motivações híbridas e graus variados de sofisticação mostra que o uso de capacidades antes restritas a operações de alto nível pode estar se tornando mais disseminado. Para usuários, empresas e governos, isso significa que o iPhone continua sendo um alvo altamente valioso — e que o tempo entre a descoberta de uma falha, sua exploração ativa e a necessidade de aplicação de correções está cada vez menor.