Briefing de Sinal / Tendências globais de serviços em nuvem

DarkSword foi usado em quatro países; 270 milhões não são infecções

Pesquisadores documentaram campanhas iOS distintas. Os 270 milhões estimam aparelhos em versões antigas, não alvos, invasões ou infecções confirmadas.

DarkSword foi usado em quatro países; 270 milhões não são infecções
RegiãoÁsia-Pacífico
Foco no SinalMercado
Tipo de conteúdoEvento
Domínio PrimárioMercado
TópicoMercado
ImpactoMédio
ConfiançaConfiança limitada (72%)

Pesquisa técnica do Google, achados coordenados de iVerify e Lookout, avisos Apple, orientação de atualização e medição da App Store.

Análise baseada em evidências das campanhas iOS DarkSword, do denominador de exposição e da evolução dos patches.

  • O Google documentou o uso do DarkSword contra alvos na Arábia Saudita, Turquia, Malásia e Ucrânia desde novembro de 2025. Os casos envolvem grupos e clientes distintos; não formam um total mundial de vítimas.
  • A estimativa da iVerify de até 270 milhões de aparelhos em certas versões do iOS 18 é um possível denominador de exposição, não uma contagem de infecções. A Apple afirma que versões atuais e atualizadas estão protegidas e depois estendeu correções a ramificações antigas do iOS.

Campanhas observadas são menores que o denominador possível

O Google separa pelo menos três contextos: UNC6748 usou um site com tema Snapchat contra usuários sauditas; atividade associada à PARS Defense apareceu na Turquia e depois na Malásia; e UNC6353 usou sites ucranianos comprometidos como pontos de espera. UNC6353 é avaliado como um grupo suspeito de espionagem russa, não como braço comprovado de um governo específico.

A operação ucraniana remonta pelo menos a dezembro de 2025 e continuou até março de 2026. A Lookout encontrou evidência de uma possível infecção em 12 de fevereiro. Isso não prova ataque a milhões; um site comprometido não informa quantos iPhones compatíveis receberam e concluíram toda a cadeia.

O que os 270 milhões medem

A iVerify disse que até 270 milhões de aparelhos ainda usavam iOS 18.4 a 18.6.2, versões aceitas pelo carregador ucraniano. Não publicou contagem medida de visitas relevantes, entrega de exploit, escalada bem-sucedida, payload instalado ou infecção confirmada. É um teto populacional e não é uma contagem de infecções.

A Apple informou depois que 79% dos iPhones que transacionaram na App Store em 7 de junho usavam iOS 26. Esse percentual posterior se baseia em atividade da loja; não é a base instalada total nem auditoria do DarkSword. Combinar os denominadores criaria falsa precisão.

Seis falhas permitiram payloads diferentes

O Google descreveu uma cadeia JavaScript com execução de código no JavaScriptCore, desvio de autenticação de ponteiro no dyld, duas fugas de sandbox e elevação de privilégio no kernel. Variantes observadas cobriam iOS 18.4 a 18.7; o carregador ucraniano do UNC6353 cobria 18.4 a 18.6.

Campanhas diferentes entregaram GHOSTKNIFE, GHOSTSABER ou GHOSTBLADE. O código podia extrair mensagens, contas, histórico web e de localização, credenciais Wi-Fi, fotos, arquivos e dados de apps. A lista mostra gravidade após comprometimento, não que todo módulo rodou ou todo dado foi roubado em cada aparelho.

A fronteira de correção mudou após a divulgação

O Google disse que a cadeia completa foi corrigida no iOS 26.3, lançado em 11 de fevereiro de 2026, embora a maioria das falhas já tivesse correção. A Apple declarou depois que as versões mais recentes e atualizadas do iOS 15 ao iOS 26 estavam protegidas, ampliou o iOS 18.7.7 em 1º de abril e enviou alerta de Critical Security Update a versões antigas do iOS 18.

Segundo a Apple, aparelhos atualizados e com Lockdown Mode estavam protegidos contra os ataques web relatados. O Safe Browsing do Safari bloqueia domínios identificados. A resposta é instalar a atualização compatível mais recente, usar Lockdown Mode quando atualizar for temporariamente impossível e investigar exposição sem presumir invasão só pela versão.

O que acompanhar

  • Telemetria de vítimas confirmadas separada de estimativas de versões.
  • Novos domínios de watering hole, código de entrega e cobertura Safe Browsing.
  • Sucesso por etapa, execução do payload e exfiltração verificada.
  • Novos operadores e confiança de atribuição.
  • Adoção de patches em frotas geridas e legadas.
  • Notificações da Apple e achados forenses independentes.

Fontes

Briefing de Sinal

  • Sinal: DarkSword foi usado em quatro países; 270 milhões não são infecções
  • Região: Ásia-Pacífico
  • Classe de Mercado: Tendências globais de serviços em nuvem

Presença Operacional

  • Sites comprometidos e entrega web
  • Patches iOS e cobertura Lockdown Mode
  • Detecção de exposição e comprometimento
  • Forense de payload e resposta

Contexto de Mercado

  • Relevância operacional: Médio
  • Horizonte temporal: Próximo trimestre

O que assistir

  • Inventário de versões da frota
  • Telemetria de domínios e histórico web
  • Evidência forense no aparelho
  • Atualizações de segurança Apple vigentes

Briefing para Membros

Contexto de Tendência Aprofundado

Faça login com o nível de associação correto para desbloquear o briefing completo e as notas de origem.

Apenas para Strategic Circle

Strategic Circle

Aberto a todos os leitores. Desbloqueie Briefings de tendências após se inscrever e fazer login.

Junte-se ao Strategic Circle

Somente para Leadership Alliance

Leadership Alliance

Para operadores, investidores e equipes de políticas que precisam de evidências de relacionamento, caminhos de falha e notas de origem. Faça login para desbloquear.

Junte-se ao Leadership Alliance
VoltarMais Cobertura: Tendências globais de serviços em nuvem