Prima Coruna, ora DarkSword: la nuova catena di exploit iOS che compromette milioni di iPhone
DarkSword è una nuova catena di exploit iOS che sfrutta Safari e siti compromessi per accedere ai dati degli iPhone. Apple ha già corretto le vulnerabilità. Scopri come difenderti.
Dopo la scoperta di Coruna, una nuova catena di exploit iOS riporta al centro il tema della sicurezza su iPhone. Si chiama DarkSword ed è stata individuata dal Google Threat Intelligence Group insieme a Lookout e iVerify. A colpire è anche la sua diffusione: è già stata utilizzata da più attori, inclusi vendor di sorveglianza e gruppi legati a contesti statali, in campagne attive almeno da novembre 2025.
- DarkSword: un exploit “a catena” che parte dal web
- Dal controllo al furto di dati: il nuovo pericolo per gli utenti iPhone
- Chi è stato colpito da DarkSword?
- DarkSword, le contromisure già disponibili
DarkSword: un exploit “a catena” che parte dal web
DarkSword appartiene alla categoria degli exploit chain. Non sfrutta una singola falla, ma combina più vulnerabilità per ottenere il controllo completo del dispositivo. I ricercatori parlano di sei vulnerabilità utilizzate in sequenza per arrivare a una compromissione a livello di kernel, cioè nel punto più profondo del sistema operativo.
L’infezione non richiede installazioni né azioni complesse. È sufficiente visitare un sito compromesso o costruito ad hoc. Da lì si attiva una sequenza di codice che sfrutta il browser Safari come punto di ingresso e, attraverso più passaggi, aggira le protezioni del sistema fino a eseguire payload malevoli.
Questa modalità viene spesso definita “drive-by”. L’utente non scarica nulla e si limita ad aprire una pagina. In alcuni casi osservati, i siti utilizzati imitavano servizi legittimi oppure erano stati compromessi, inclusi portali istituzionali.
Dal controllo al furto di dati: il nuovo pericolo per gli utenti iPhone
Una volta completata la catena di exploit, il dispositivo può essere utilizzato per estrarre dati sensibili. Le analisi indicano che DarkSword è in grado di accedere a messaggi, cronologia, contenuti iCloud, dati di posizione e informazioni legate agli account. Tra i bersagli compaiono anche credenziali e wallet di criptovalute.
A differenza di altri spyware, non è progettato per restare a lungo sul dispositivo. Il comportamento è rapido: attacca il dispositivo, raccoglie le informazioni, le invia a un server remoto e poi cancella le tracce. In molti casi, l’intera operazione si conclude in pochi minuti, rendendo difficile l’individuazione.
I payload osservati includono diverse famiglie di malware, tra cui GHOSTBLADE, GHOSTKNIFE e GHOSTSABER, ciascuna con capacità specifiche di raccolta dati o accesso remoto.
Chi è stato colpito da DarkSword?
Le campagne documentate hanno preso di mira utenti in Arabia Saudita, Turchia, Malesia e Ucraina. In alcuni casi sono stati utilizzati siti falsi o pagine che imitavano piattaforme note. In altri, l’attacco è passato attraverso siti legittimi compromessi, una tecnica che riduce le possibilità di sospetto da parte della vittima.
DarkSword, le contromisure già disponibili
Apple ha corretto le vulnerabilità sfruttate da DarkSword attraverso aggiornamenti successivi del sistema operativo. Le patch sono incluse nelle versioni più recenti di iOS, fino ad arrivare a iOS 26.3, e sono state estese anche ai dispositivi più datati tramite aggiornamenti dedicati per iOS 15 e 16 rilasciati a marzo 2026.
Secondo l’azienda, i dispositivi aggiornati non risultano vulnerabili. Safari integra inoltre un sistema di protezione che blocca i domini malevoli identificati durante le indagini.
Per i dispositivi che non possono essere aggiornati, viene indicata come alternativa la modalità Lockdown, progettata per ridurre drasticamente la superficie di attacco, soprattutto in scenari ad alto rischio.
