A Proofpoint revelou detalhes de uma campanha de e-mails direcionados em que agentes ligados à Rússia exploram o kit de exploits DarkSword, recentemente divulgado, para atacar dispositivos iOS.
A atividade foi atribuída com alta confiança ao grupo de ameaças patrocinado pelo estado russo conhecido como TA446, também identificado pela comunidade de cibersegurança como Callisto, COLDRIVER e Star Blizzard (antigo SEABORGIUM).
Esse grupo é associado ao Serviço Federal de Segurança da Rússia (FSB).
Conhecido por campanhas de spear-phishing focadas na coleta de credenciais, o grupo concentrou seus ataques no último ano em contas do WhatsApp das vítimas e utilizou várias famílias de malware customizado para roubar dados sensíveis.
A operação mais recente, destacada pela Proofpoint e Malfors, envolve o envio de e-mails falsos com convites para “discussões” que imitam mensagens do Atlantic Council, para disseminar o malware dataminer GHOSTBLADE por meio do kit de exploits DarkSword.
Os e-mails foram enviados em 26 de março de 2026 a partir de remetentes comprometidos.
Um dos destinatários foi Leonid Volkov, importante político russo da oposição e diretor político da Fundação Anti-Corrupção.
Uma análise automatizada realizada pelas ferramentas de segurança da Proofpoint redirecionou para um documento PDF inofensivo, provavelmente devido a um filtro no lado do servidor que direciona apenas navegadores de iPhone para o kit de exploits.
“Antes, não observamos o TA446 atacando contas iCloud ou dispositivos Apple, mas o uso do kit de exploits DarkSword para iOS agora permite que o grupo mire esses dispositivos”, afirmou a Proofpoint.
A empresa também destacou que o volume de e-mails desse grupo aumentou significativamente nas últimas duas semanas.
Esses ataques resultam na instalação de um backdoor conhecido como MAYBEROBOT, distribuído por meio de arquivos ZIP protegidos por senha.
A utilização do DarkSword pelo grupo foi confirmada pela presença de um loader do kit, enviado ao VirusTotal, que faz referência ao domínio "escofiringbijou[.]com", identificado como parte da infraestrutura do TA446.
Resultados do urlscan[.]io mostram que o domínio controlado pelo TA446 serve o kit DarkSword completo, incluindo o redirecionador inicial, loader de exploits, execução remota de código e componentes para bypass do Pointer Authentication Code (PAC).
No entanto, não há evidências de que escapes de sandbox tenham sido utilizados.
Suspeita-se que o TA446 esteja reaproveitando o DarkSword para roubo de credenciais e coleta de inteligência, com a Proofpoint observando que o alcance da campanha foi muito mais amplo que o habitual e incluiu alvos em governos, think tanks, universidades, além dos setores financeiro e jurídico.
Isso sugere que o grupo está aproveitando as novas capacidades oferecidas pelo DarkSword em uma campanha oportunista contra um conjunto mais amplo de vítimas.
O desenvolvimento ocorre no momento em que a Apple começou a enviar notificações na tela de bloqueio para iPhones e iPads com versões antigas do iOS e iPadOS, alertando sobre ataques via web e recomendando a atualização para bloquear a ameaça.
Essa medida incomum indica que a empresa considera o risco grave e que requer atenção imediata dos usuários.
O alerta da Apple coincide com o vazamento de uma nova versão do DarkSword no GitHub, aumentando o receio de que exploits antes restritos a estados-nação fiquem acessíveis ao público, o que pode alterar drasticamente o cenário de ameaças móveis.
Justin Albrecht, pesquisador principal da Lookout, afirmou que a versão plug-and-play divulgada permite que atores maliciosos sem experiência implantem o avançado kit de espionagem para iOS, transformando-o em um malware de prateleira.
“DarkSword derruba o mito de que iPhones são imunes a ameaças cibernéticas e que ataques móveis sofisticados são usados apenas contra governos e autoridades de alto escalão”, completou Albrecht.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...