I ricercatori hanno scoperto una diffusa campagna spyware mirata agli iPhone di Apple, con potenzialmente centinaia di milioni di dispositivi vulnerabili. Il malware, soprannominato “Darksword”, è stato distribuito su dozzine di siti web ucraini nelle ultime settimane e rappresenta un mercato in crescita per sofisticati strumenti di hacking, insieme a un altro exploit scoperto di recente chiamato “Coruna”. Questo aumento delle capacità di spyware commerciale solleva preoccupazioni sia per gli attacchi informatici sponsorizzati dallo stato che per quelli motivati finanziariamente.
La minaccia della spada oscura
Darksword sfrutta le vulnerabilità degli iPhone con versioni iOS dalla 18.4 alla 18.6.2 (rilasciate tra marzo e agosto 2025) per rubare dati sensibili, comprese le informazioni sul portafoglio di criptovaluta. Google, Lookout e iVerify hanno analizzato congiuntamente il malware, trovandolo ospitato sugli stessi server di Coruna, indicando un’infrastruttura condivisa per questi attacchi.
Risultati principali:
– Darksword è stato utilizzato in campagne rivolte a individui in Arabia Saudita, Turchia, Malesia e Ucraina.
– Le campagne in Turchia e Malesia sono collegate a PARS Defense, un fornitore turco di sorveglianza commerciale.
– Si stima che circa 220-270 milioni di iPhone rimangano vulnerabili perché gli utenti non installano gli aggiornamenti.
Perché è importante
La proliferazione di potenti spyware come Darksword e Coruna dimostra un cambiamento nel panorama informatico. In precedenza, tali strumenti erano in gran parte dominio delle agenzie di intelligence degli stati nazionali; ora sono sempre più accessibili alle entità criminali con incentivi finanziari. Questa tendenza è allarmante perché abbassa le barriere all’ingresso per gli attori malintenzionati e amplia il potenziale di sorveglianza di massa e furto di dati.
“Esiste ora una serie verificata di exploit recenti che sono finiti nelle mani di entità potenzialmente criminali con un focus finanziario”, afferma Justin Albrecht, ricercatore principale di Lookout.
Risposta di Apple e azione dell’utente
Apple ha riconosciuto le vulnerabilità sfruttate da Darksword e afferma che le correzioni sono state rilasciate tramite più aggiornamenti negli ultimi anni. L’azienda sottolinea che mantenere aggiornato il software è la misura più efficace contro tali attacchi. La funzionalità Navigazione sicura di Apple in Safari blocca anche i domini dannosi noti.
Tuttavia, l’enorme numero di iPhone con versioni iOS obsolete (stimato tra 220 e 270 milioni) lascia esposta una vasta superficie di attacco.
Trascuratezza operativa e tendenze future
I ricercatori notano che gli operatori dietro Darksword e Coruna mostrano pratiche di sicurezza sconsiderate. Ciò suggerisce che non si preoccupano dell’esposizione, sia perché possiedono un’abbondanza di strumenti sia perché il loro obiettivo principale è lo sfruttamento di massa piuttosto che la furtività a lungo termine.
La scoperta di questi due exploit in rapida successione indica un robusto ecosistema per strumenti di hacking avanzati. Il fatto che questi strumenti vengano utilizzati in attacchi di massa con scarsa sicurezza operativa indica il loro alto valore e la loro spendibilità.
In definitiva, questa situazione sottolinea la costante corsa agli armamenti tra ricercatori di sicurezza, fornitori di software e attori malintenzionati. Gli utenti devono dare priorità agli aggiornamenti software e rimanere vigili contro il phishing o le visite a siti Web sospetti per ridurre al minimo i rischi.
