Kit de explotación DarkSword para iOS apunta a billeteras de cripto: Google alerta a millones

Un sofisticado kit de explotación para iOS, bautizado como "DarkSword" por los investigadores, ha evolucionado de una herramienta de vigilancia preocupante a una amenaza directa para el ecosistema global de criptomonedas. El Grupo de Análisis de Amenazas (TAG) de Google, en una escalada significativa de sus advertencias previas, confirma ahora que el framework se está desplegando para comprometer específicamente las billeteras de criptomonedas en iPhone, con un impacto potencial estimado en más de 200 millones de dispositivos en todo el mundo.

El kit DarkSword salió a la luz inicialmente por su capacidad para eludir las mejoras de seguridad críticas en el último iOS 18 de Apple, explotando una cadena de vulnerabilidades de día cero para obtener acceso profundo y persistente a los dispositivos infectados. Su despliegue inicial parecía centrado en objetivos de alto valor para el espionaje. Sin embargo, el análisis forense reciente de los patrones de ataque y los datos de los servidores de comando y control revelan un giro marcado hacia el crimen financiero. Los operadores ahora escanean y atacan activamente aplicaciones populares de billeteras de criptomonedas móviles, incluidas tanto las no custodias (hot wallets) como las vinculadas a exchanges.

El modus operandi técnico implica un payload de múltiples etapas. Tras la infección inicial, a menudo mediante spear-phishing o sitios web comprometidos, el kit escala privilegios y establece una posición persistente. Luego realiza un reconocimiento en el dispositivo, identificando las aplicaciones de billetera instaladas. El malware de etapa final está diseñado para realizar keylogging, captura de pantalla y scraping de memoria para extraer frases semilla, claves privadas y contraseñas de las billeteras. Crucialmente, puede interceptar y modificar los datos de transacción antes de que sean firmados, permitiendo a los atacantes drenar fondos a direcciones bajo su control mientras muestran una transacción de apariencia legítima a la víctima.

Este cambio subraya una tendencia peligrosa: los dispositivos móviles ya no son solo objetivos para el robo de datos, sino que se están convirtiendo en vectores principales para ataques financieros de alto riesgo. El iPhone, durante mucho tiempo percibido como un bastión seguro, es particularmente atractivo debido a la concentración de individuos con alto patrimonio neto y entusiastas de las cripto en la plataforma. La capacidad de la explotación para apuntar a la última versión de iOS rompe la suposición común del usuario de que actualizar al software más nuevo proporciona protección absoluta.

Para la comunidad de ciberseguridad, la campaña DarkSword presenta varios desafíos críticos. En primer lugar, destaca la necesidad de una protección mejorada de aplicaciones en tiempo de ejecución dentro del propio software de las billeteras. En segundo lugar, enfatiza la importancia de los módulos de seguridad de hardware (HSM) y los enclaves seguros, aunque estos también pueden verse amenazados por exploits sofisticados a nivel de kernel. En tercer lugar, exige un intercambio de inteligencia de amenazas más robusto entre los proveedores de plataformas (Apple), las firmas de seguridad (como Google TAG) y la comunidad de desarrollo de aplicaciones de criptomonedas.

Las estrategias de mitigación recomendadas para organizaciones y profesionales de la seguridad incluyen:

La campaña DarkSword es una llamada de atención. Representa la convergencia de las técnicas de amenaza persistente avanzada (APT) con el lucrativo mundo de las finanzas descentralizadas (DeFi). A medida que crece el valor almacenado en los dispositivos móviles, también lo hará la sofisticación y frecuencia de tales ataques. La defensa proactiva, la seguridad por capas y un cambio fundamental en cómo percibimos el riesgo de los dispositivos móviles ya no son opcionales: son imperativos para salvaguardar los activos digitales en un panorama cada vez más hostil.