✨︎ Resumen (TL;DR):
- El grupo TA446, patrocinado por Rusia, inició una campaña de spear-phishing para vulnerar dispositivos móviles de Apple.
- El ataque usa el kit DarkSword, que encadena 6 vulnerabilidades y 3 zero-days en distintas versiones de iOS.
- Apple envió alertas urgentes y sugirió activar el Modo Hermético para bloquear la ejecución del malware de robo de datos.
El grupo de hackers TA446, patrocinado por el estado ruso y vinculado al FSB, lanzó una campaña dirigida de spear-phishing para comprometer cuentas de iCloud y teléfonos móviles de Apple. Los atacantes aprovechan el código recientemente filtrado de DarkSword para inyectar un malware de minería de datos llamado GHOSTBLADE.
DarkSword es un kit de espionaje para iOS que encadena seis vulnerabilidades de seguridad para tomar el control total de los equipos que ejecutan desde iOS 18.4 a 18.7.
La firma de ciberseguridad Proofpoint reveló que la operación comenzó el 26 de marzo. Los cibercriminales enviaron correos falsos suplantando al Atlantic Council para atraer a sus víctimas con invitaciones a foros de discusión. Si el enlace se abría desde un iPhone, el exploit atacaba silenciosamente; si se abría en una computadora u otro navegador, redirigía a un archivo PDF inofensivo.
“No habíamos observado antes a TA446 dirigirse a las cuentas de iCloud o dispositivos Apple de los usuarios, pero la adopción del kit de exploits de iOS filtrado DarkSword ha permitido ahora al actor atacar dispositivos iOS”, señaló Proofpoint en su reporte.
El ataque alcanzó al político de la oposición rusa Leonid Volkov, además de entidades financieras, legales y de educación superior. Investigadores de Proofpoint y Malfors determinaron que la lista de objetivos fue mucho más amplia de lo habitual para este grupo.
Google Threat Intelligence Group, iVerify y Lookout descubrieron originalmente DarkSword. Sin embargo, el 23 de marzo se filtró una versión actualizada en GitHub.
“DarkSword refuta la creencia común de que los iPhones son inmunes a las ciberamenazas”, indicó Justin Albrecht, investigador principal de Lookout. Albrecht advirtió que esta filtración permite a “actores de amenazas incluso sin experiencia desplegar el avanzado kit de espionaje para iOS”.
Apple lanza parches de emergencia y alertas
Ante el peligro, Apple comenzó a mandar notificaciones directas a la pantalla de bloqueo de sus usuarios, incluso en smartphones que corren versiones antiguas como iOS 17.0. Las acciones de contención de la empresa incluyen:
- Liberación de iOS 15.8.7 y iOS 16.7.15 desde el 11 de marzo para extender protecciones de seguridad a modelos previos.
- Obligación de actualizar a iOS 15 para todos los usuarios atascados en las versiones 13 o 14.
- Uso intensivo del Lockdown Mode (Modo Hermético).
Sobre esta última función, Apple declaró que no tiene conocimiento “de ningún ataque exitoso de software espía mercenario contra un dispositivo Apple con el Modo Hermético habilitado”.
Proofpoint detectó también un pico en el volumen de correos electrónicos de TA446 durante las últimas dos semanas. Esta actividad paralela distribuye el backdoor MAYBEROBOT usando archivos ZIP protegidos con contraseña. La masificación de armas cibernéticas de nivel estatal obliga a los usuarios a instalar las actualizaciones del sistema operativo el mismo día que los fabricantes las publican.
