Proofpoint ha revelado detalles de una campaña de correo electrónico dirigida en la que actores de amenazas con vínculos con Rusia están aprovechando el kit de explotación DarkSword recientemente revelado para apuntar a dispositivos iOS.
La actividad se ha atribuido con gran confianza al categoría de amenazas patrocinado por el estado ruso conocido como TA446, que asimismo es rastreado por la comunidad de ciberseguridad más amplia bajo los apodos Callisto, COLDRIVER y Star Blizzard (anteriormente SEABORGIUM). Se considera que está afiliado al Servicio Federal de Seguridad (FSB) de Rusia.
El categoría de hackers es conocido por sus campañas de phishing dirigidas a compendiar credenciales de objetivos de interés. Sin confiscación, los ataques organizados por el actor de amenazas durante el año pasado se dirigieron a las cuentas de WhatsApp de las víctimas y aprovecharon varias familias de malware personalizadas para robar datos confidenciales.
La última actividad, destacada por Proofpoint y Malfors, implica el uso de correos electrónicos falsos de “invitación a discusión” que suplantan al Atlantic Council para entregar la entrega de GHOSTBLADE, un malware de minería de datos, a través del kit de explotación DarkSword. Los correos electrónicos fueron enviados por remitentes comprometidos el 26 de marzo de 2026. Uno de los destinatarios del correo electrónico fue Leonid Volkov, un destacado político de la concurso rusa y director político de la Fundación Anticorrupción.
Se dice que un examen automatizado activado por las herramientas de seguridad de Proofpoint ha redirigido a un documento PDF señuelo afable, probablemente correcto al filtrado del flanco del servidor implementado para aceptar solo a los navegadores de iPhone al kit de exploits.
“No hemos observado anteriormente que TA446 apunte a las cuentas de iCloud de los usuarios o a los dispositivos Apple, pero la asimilación del kit de explotación DarkSword iOS filtrado ahora ha permitido al actor apuntar a dispositivos iOS”, dijo Proofpoint.
La firma de seguridad empresarial asimismo señaló que el bulto de correos electrónicos del actor de amenazas ha sido “significativamente decano” en las últimas dos semanas, y agregó que estos ataques conducen al despliegue de una puerta trasera conocida denominada MAYBEROBOT a través de archivos ZIP protegidos con contraseña.
El uso de DarkSword por parte del categoría asimismo ha sido corroborado por el hecho de que se descubrió que un cargador de DarkSword subido a VirusTotal hace relato a “escofiringbijou(.)com”, un dominio de segunda etapa atribuido al actor de amenazas.
Un resultado de urlscan(.)io ha revelado que el dominio controlado por TA446 ha servido al kit de explotación DarkSword, incluido el redirector auténtico, el cargador de explotación, la ejecución remota de código y los componentes de omisión del Código de autenticación de puntero (PAC). Sin confiscación, no hay evidencia de que se hayan entregado escapes de la zona de pruebas.
Se sospecha que el TA446 está reutilizando el kit de exploits DarkSword para la casa recoleta de credenciales y de inteligencia, y Proofpoint señaló que el objetivo observado en la campaña de correo electrónico fue “mucho más amplio de lo habitual” e incluyó al gobierno, grupos de expertos, entidades de educación superior, financieras y legales.
Esto, a su vez, ha planteado la posibilidad de que el actor de amenazas esté aprovechando la nueva capacidad que ofrece DarkSword como parte de una campaña oportunista contra un conjunto de objetivos más amplio.
El incremento se produce cuando Apple comenzó a cursar notificaciones de pantalla de separación a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados en la web e instarlos a instalar la puesta al día para sitiar la amenaza. Este paso inusual indica que la empresa lo está tratando como una amenaza lo suficientemente amplia que requiere la atención inmediata de los usuarios.
La advertencia de Apple asimismo coincide con la filtración de una nueva traducción de DarkSword en GitHub, lo que genera preocupaciones de que podrían democratizar el paso a exploits de estados-nación, cambiando fundamentalmente el panorama de amenazas móviles.
Justin Albrecht, investigador principal de Lookout, dijo que la traducción filtrada, plug-and-play, permite incluso a actores de amenazas no calificados implementar el kit de espionaje liberal de iOS, convirtiéndolo en malware cardinal.
“DarkSword refuta la creencia popular de que los iPhone son inmunes a las amenazas cibernéticas y que los ataques móviles avanzados sólo se utilizan en esfuerzos dirigidos contra gobiernos y funcionarios de detención rango”, añadió Albrecht.
