Un grupo de hackers fuertemente sospechoso de tener vínculos con el gobierno ruso ha estado explotando activamente a los usuarios de iPhone en Ucrania con nuevas y sofisticadas herramientas diseñadas para robar datos personales y, potencialmente, criptomonedas. Los investigadores de ciberseguridad de Google, iVerify y Lookout identificaron la campaña, vinculada a una operación previamente descubierta, y denominaron al nuevo conjunto de herramientas “Darksword”.
Escalada de capacidades de piratería de iPhone
El descubrimiento de Darksword sigue de cerca a la revelación de otra herramienta de piratería avanzada, Coruña, a principios de marzo. Coruña fue desarrollado inicialmente por el contratista de defensa estadounidense L3Harris para agencias de inteligencia occidentales (incluida la alianza Five Eyes) antes de ser adoptado por espías rusos y ciberdelincuentes chinos. La aparición de dos herramientas de este tipo sugiere que el software espía de piratería de iPhone altamente capaz es más accesible de lo que se creía anteriormente. En particular, ambas campañas se han centrado casi exclusivamente en objetivos ucranianos, lo que indica cierto grado de moderación a pesar del potencial global de las herramientas.
Darksword: una operación de “aplastar y agarrar”
A diferencia del software espía centrado en la vigilancia diseñado para acceso a largo plazo, Darksword parece optimizado para una rápida filtración de datos. El kit de herramientas roba contraseñas, fotos, mensajes (de WhatsApp y Telegram) e historial de navegación y luego desaparece rápidamente. Los investigadores estiman que el malware permanece activo en un dispositivo sólo “minutos”, dependiendo de la cantidad de datos robados. Esto sugiere un enfoque principal en la recopilación inmediata de inteligencia en lugar de un seguimiento prolongado.
“La explicación más probable es que los piratas informáticos estaban interesados en conocer el patrón de vida de las víctimas, lo que no les requería una vigilancia constante, sino más bien una operación de aplastamiento y captura”, dice Rocky Cole, cofundador de iVerify.
Motivos duales: espionaje y ganancia financiera
Darksword también incorpora capacidades para robar criptomonedas de aplicaciones de billetera populares, una adición inusual para un presunto grupo de piratería respaldado por el estado. Si bien los investigadores no están seguros de si los piratas informáticos buscaron activamente ganancias financieras, la capacidad del malware para robar criptomonedas sugiere una operación con motivación financiera o un alcance cada vez mayor de la actividad cibernética rusa. El diseño modular de Darksword, que permite una fácil expansión de la funcionalidad, indica aún más desarrollo profesional.
Atribución e implicaciones
Los expertos en seguridad señalan abrumadoramente que el gobierno ruso está detrás de Darksword. Los investigadores de Lookout confirman que probablemente esté involucrado el mismo grupo responsable de la campaña de La Coruña. Justin Albrecht de Lookout describe al actor como “bien financiado y conectado”, que lleva a cabo ataques alineados con los requisitos de la inteligencia rusa. La campaña en sí fue amplia e infectó a los usuarios ucranianos que visitaron sitios web comprometidos mientras se encontraban en el país.
La creciente sofisticación y accesibilidad de las herramientas de piratería de iPhone plantean serias preocupaciones sobre el futuro de la seguridad móvil. El hecho de que estas herramientas se originaron con contratistas occidentales antes de ser adoptadas por adversarios subraya los peligros de la tecnología de doble uso en el dominio cibernético. Esta última campaña refuerza la necesidad de una mayor vigilancia y mejores defensas contra la piratería patrocinada por el Estado.
