Un nuevo marco de malware identificado como DarkSword ha surgido como una amenaza significativa para los usuarios de dispositivos Apple en todo el mundo. Investigadores de seguridad han documentado que DarkSword explota múltiples vulnerabilidades de día cero en las versiones de iOS 18.4 a 18.7, permitiendo a sus operadores extraer datos sensibles y activos de criptomonedas de los iPhones afectados. Las campañas de ataque atribuidas a DarkSword ya han aparecido en países como Arabia Saudita, Ucrania, Malasia y Turquía. La rápida propagación internacional del marco ha aumentado las preocupaciones dentro de las comunidades de ciberseguridad y activos digitales.
Ghostblade se Enfoca en Intercambios y Carteras
El payload Ghostblade, distribuido a través de la cadena de exploits de DarkSword, inspecciona específicamente los iPhones infectados para localizar aplicaciones de intercambio de criptomonedas líderes y servicios de carteras. Su enfoque sistemático incluye plataformas como Coinbase, Binance, Kraken, Kucoin, OKX y MEXC, así como proveedores de carteras como Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom y Gnosis Safe. Los investigadores informan que el malware explora el dispositivo, identificando y extrayendo tokens de autenticación, datos de aplicaciones y detalles privados vinculados a cuentas financieras.
Ghostblade también tiene como objetivo más allá de la moneda digital, recopilando mensajes SMS, iMessages, registros de llamadas y contactos, además de credenciales Wi-Fi, historial de Safari, ubicaciones GPS e incluso archivos de aplicaciones de mensajería de terceros como Telegram y WhatsApp. El payload borra sus propios rastros del smartphone tras la extracción de datos. Los expertos ven esta técnica de ‘golpear y correr’ como diseñada para evitar la detección y reducir la capacidad de recuperación forense.
Operación Técnica y Métodos de Entrega
DarkSword aprovecha páginas web armadas y portales gubernamentales comprometidos para entregar su código malicioso. En algunos casos, las víctimas saudíes encontraron una página de inicio de sesión de Snapchat falsa que alojaba el exploit. Los observadores han identificado que la cadena de ataque utiliza iframes ocultos, incorporando módulos adicionales que permiten la ejecución remota de código y finalmente despliegan los payloads de malware.
El marco puede emplear seis vulnerabilidades de día cero previamente no documentadas, al dirigirse a debilidades como fallos en el manejo de memoria y elusión de autenticación de punteros. Una vez que un usuario simplemente visita una página web contaminada, sin necesidad de hacer clic o interactuar, el exploit se inicia durante la actividad rutinaria del navegador. El cargador a veces identifica erróneamente las versiones de dispositivo, lo que los analistas atribuyen a un desarrollo continuo y posible despliegue apresurado. A pesar de errores ocasionales, DarkSword planta de manera efectiva variantes como Ghostknife y Ghostsaber además de Ghostblade.
Respuesta de Seguridad y Recomendaciones
Los investigadores señalaron estas vulnerabilidades de iOS a finales de 2025. Apple respondió lanzando un parche de remediación en la actualización de iOS 26.3 e integrando dominios amenazantes en listas negras de Navegación Segura. Se aconseja encarecidamente a los usuarios de iPhone que instalen tanto la actualización del sistema operativo como que activen el Modo de Bloqueo. El Modo de Bloqueo es una configuración de seguridad opcional de iOS diseñada para proteger dispositivos personales contra amenazas cibernéticas avanzadas como las que surgen de marcos de explotación como DarkSword.
El caso DarkSword ha atraído especial atención en la esfera de las criptomonedas, debido a su enfoque en aplicaciones de intercambio y carteras de gran valor y su uso por parte de outfits de vigilancia comercial, así como de entidades alineadas con el estado. Este sofisticado conjunto de herramientas resalta la creciente complejidad de las amenazas contra los sistemas financieros digitales y enfatiza la urgencia de actualizaciones de seguridad continuas para todos los usuarios activos en los mercados de criptomonedas.
