Aggiornamenti recenti Marzo 18th, 2026 4:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- DarkSword: exploit chain iOS tra zero-day, spyware e cybercrime finanziario
- Rischio AI: falle in Amazon Bedrock, LangSmith e SGLang
- CrackArmor, nove falle in AppArmor aprono la strada al root di Linux
- I sistemi multi-agent aggirano controlli, rubano segreti ed esfiltrano
- Rapporto Clusit 2026: gli attacchi cyber crescono del 49%
DarkSword: exploit chain iOS tra zero-day, spyware e cybercrime finanziario
Google Threat Intelligence Group, un’unità specializzata di Google Cloud dedicata alla cybersicurezza, ha appena rilasciato un blogpost quantomeno preoccupante. Il toolkit noto come DarkSword propone una catena di exploit completa capace di compromettere interamente dispositivi iOS sfruttando vulnerabilità multiple, inclusi zero-day, e viene sfruttata sia in operazioni di cyberspionaggio sia in attività criminali orientate al profitto.
Questo non fa che confermare la tendenza in atto da ormai molti mesi che vede un “imbastardimento” dell’arsenale cyber in dotazione a gruppi statali e gruppi di cybercrime tradizionale.
Architettura dell’attacco: una full-chain exploit altamente modulare
DarkSword si configura come una catena di attacco completa, progettata per ottenere il controllo totale del dispositivo bersaglio. Il vettore iniziale è estremamente semplice: la vittima visita una pagina web malevola e, con una singola interazione, attiva l’intera sequenza di exploit.
Il cuore dell’attacco è rappresentato da una combinazione di vulnerabilità che agiscono in modo coordinato. Tra queste spiccano bug di corruzione della memoria nel motore JavaScriptCore, bypass dei meccanismi di pointer authentication nel loader dinamico dyld, vulnerabilità nel layer grafico ANGLE e difetti nella gestione della memoria del kernel iOS. La concatenazione di queste vulnerabilità consente di passare da esecuzione di codice remoto a evasione della sandbox fino all’escalation dei privilegi a livello kernel, completando così il ciclo di compromissione.
Una volta ottenuto l’accesso privilegiato, il malware può distribuire payload aggiuntivi, raccogliere dati sensibili e operare con pieno controllo del sistema. La capacità di ottenere privilegi kernel rappresenta il punto di non ritorno dell’attacco, garantendo accesso persistente e invisibilità rispetto ai controlli standard.
Malware e payload: Ghostblade, Ghostknife e Ghostsaber
All’interno della catena DarkSword vengono utilizzate diverse famiglie malware, identificate come Ghostblade, Ghostknife e Ghostsaber. Questi componenti non sono statici ma vengono selezionati in base allo scenario operativo, evidenziando un’architettura modulare e adattiva.
Le funzionalità includono raccolta rapida di dati, accesso a contenuti sensibili e capacità di esfiltrazione. Un elemento distintivo è la velocità dell’operazione: il malware è progettato per raccogliere informazioni nel giro di pochi secondi o minuti e successivamente auto-eliminarsi dal dispositivo, riducendo drasticamente le possibilità di rilevamento forense.
Questo comportamento indica un’evoluzione verso attacchi “hit-and-run”, in cui la rapidità e la furtività prevalgono sulla persistenza tradizionale, rendendo più complessa la risposta degli incident responder.
Dual-use: quando spyware e cybercrime convergono
Uno degli aspetti più innovativi – e preoccupanti – di DarkSword è la sua natura dual-use. Tradizionalmente, le catene di exploit avanzate erano prerogativa di attori statali o vendor di spyware commerciale. In questo caso, invece, lo stesso toolkit viene utilizzato sia per attività di intelligence sia per attacchi orientati al guadagno economico, come il furto di wallet di criptovalute.
Questa convergenza introduce nuove complessità nella threat intelligence. Le categorie “espionage” e “financial cybercrime” non sono più mutuamente esclusive, ma possono coesistere all’interno della stessa campagna o dello stesso set di strumenti.
Dal punto di vista difensivo, questo implica che qualsiasi compromissione mobile deve essere trattata con lo stesso livello di severità di una violazione enterprise, indipendentemente dall’apparente finalità dell’attacco.
Attori e campagne: tra spyware vendor e gruppi statali
Le campagne osservate mostrano un ecosistema eterogeneo di attori. DarkSword è stato impiegato in operazioni mirate in diverse aree geografiche, tra cui Medio Oriente, Europa e Asia, con vittime in Arabia Saudita, Turchia, Malesia e Ucraina.
Alcuni attacchi sono riconducibili a vendor di sorveglianza commerciale, mentre altri a gruppi di cyberspionaggio statale. Un caso particolarmente interessante riguarda un gruppo legato alla Russia, identificato come UNC6353, che ha utilizzato la catena in attacchi watering hole.
Un elemento anomalo emerso dalle analisi riguarda la qualità operativa. In diversi casi, l’assenza di tecniche avanzate di offuscamento e le evidenti carenze di OPSEC suggeriscono un utilizzo non ottimale di strumenti altamente sofisticati, probabilmente acquisiti da terze parti.
Questo fenomeno indica la possibile esistenza di un mercato secondario per exploit avanzati, in cui strumenti originariamente sviluppati per operazioni di alto livello vengono riutilizzati da attori meno sofisticati, ampliando la superficie di rischio globale.
Vulnerabilità e superfici di attacco: il ruolo degli zero-day
La catena DarkSword sfrutta un mix di vulnerabilità zero-day e n-day, evidenziando una strategia ibrida. Le vulnerabilità coinvolte includono corruzione della memoria, bypass di meccanismi di sicurezza e falle nel kernel.
Questa combinazione consente agli attaccanti di costruire catene affidabili anche in presenza di patch parziali. L’utilizzo congiunto di vulnerabilità multiple aumenta la resilienza dell’exploit chain, rendendola più difficile da mitigare con contromisure isolate.
Dal punto di vista tecnico, l’attacco dimostra come le protezioni moderne di iOS, inclusi sandboxing e pointer authentication, possano essere aggirate attraverso chaining avanzato di vulnerabilità, confermando la crescente sofisticazione degli attori.
Patch e rischio residuo: milioni di dispositivi ancora esposti
Tutte le vulnerabilità sfruttate da DarkSword sono state corrette tramite aggiornamenti software, con Apple che ha rilasciato versioni aggiornate del sistema operativo per mitigare i rischi. Tuttavia, il problema principale resta l’adozione delle patch.
Le stime indicano che centinaia di milioni di dispositivi potrebbero essere ancora vulnerabili. Questo evidenzia un problema strutturale: la sicurezza mobile dipende fortemente dalla tempestività degli aggiornamenti, ma una parte significativa degli utenti continua a utilizzare versioni obsolete.
In questo contesto, funzionalità come il Lockdown Mode diventano strumenti rilevanti per utenti ad alto rischio, ma non rappresentano una soluzione universale. La persistenza di dispositivi non aggiornati alimenta un mercato sostenibile per exploit n-day, incentivando ulteriormente lo sviluppo e la diffusione di queste catene.
Condividi l'articolo
- cyber espionage mobile, DarkSword exploit, iOS zero day, iPhone exploit chain, malware Ghostblade Ghostknife Ghostsaber, mobile security, mobile threat intelligence, privilege escalation iOS, RCE iOS, spyware iPhone
Articoli correlati
Altro in questa categoria
Approfondimenti
-
DarkSword: exploit chain iOS tra zero-day, spyware e... Google Threat Intelligence Group, un’unità... -
CrackArmor, nove falle in AppArmor aprono la strada al root... Secondo una ricerca di Qualys, il pacchetto di... -
I sistemi multi-agent aggirano controlli, rubano segreti ed... L’adozione degli agenti AI nelle aziende sta accelerando... -
Rapporto Clusit 2026: gli attacchi cyber crescono del 49% Il 2025 segna un nuovo record storico per la criminalità... -
Plug-in di Chrome cambiano proprietà e diventano malware Torna il tema dell’affidabilità dei plug-in e servizi...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
DarkSword: exploit chain iOS tra zero-day, spyware e... Google Threat Intelligence Group, un’unità...
-
Rischio AI: falle in Amazon Bedrock, LangSmith e SGLang Le più recenti ricerche di BeyondTrust, Miggo e Orca... -
CrackArmor, nove falle in AppArmor aprono la strada al root... Secondo una ricerca di Qualys, il pacchetto di...
-
I sistemi multi-agent aggirano controlli, rubano segreti ed... L’adozione degli agenti AI nelle aziende sta accelerando...
-
Rapporto Clusit 2026: gli attacchi cyber crescono del 49% Il 2025 segna un nuovo record storico per la
Ransomware: la serie
No posts found.