Una recente indagine ha rivelato una sofisticata campagna di spionaggio digitale mirata agli utenti iPhone in Ucraina. Al centro dell'operazione vi è il toolkit avanzato Darksword, utilizzato per rubare dati sensibili e, potenzialmente, criptovalute. Il gruppo responsabile, identificato come UNC6353, è ritenuto avere stretti legami con il governo russo.
L'analisi, condotta da esperti di Google, iVerify e Lookout, ha evidenziato come gli aggressori abbiano sfruttato vulnerabilità per accedere ai dispositivi, sottrarre informazioni personali e poi cancellare rapidamente ogni traccia.
Questa strategia di "smash-and-grab" è la chiave dell'efficacia di Darksword.
Le caratteristiche di Darksword
Darksword si distingue per la sua natura di malware non persistente, progettato per un'azione rapida. Il suo tempo di permanenza sul dispositivo è di pochi minuti, sufficienti per esfiltrare password, fotografie, messaggi da WhatsApp, Telegram, SMS e cronologia di navigazione. Una peculiarità è la sua capacità di prendere di mira anche i portafogli di criptovalute, suggerendo un duplice obiettivo: spionaggio e potenziale furto finanziario.
Origine e modularità del toolkit
Il malware Darksword presenta una struttura modulare, segno di sviluppo professionale mirato alla scalabilità. Rocky Cole, co-fondatore di iVerify, ipotizza un collegamento tra gli sviluppatori di Darksword e quelli di Coruna, un toolkit simile scoperto in precedenza.
L'associazione tra Darksword e iniziative governative russe è rafforzata dalle analisi che identificano UNC6353 come un attore finanziato e connesso all'intelligence russa, operante per guadagno finanziario e spionaggio.
Il precedente della campagna Coruna
La scoperta di Darksword segue quella di Coruna, un altro toolkit per iPhone individuato dagli stessi ricercatori. Coruna era stato impiegato da un cliente governativo di un fornitore di spyware, poi da spie russe contro cittadini ucraini e, infine, da cybercriminali cinesi con intenti finanziari. La similitudine tra i due toolkit alimenta l'ipotesi di una piattaforma di sviluppo condivisa o di un medesimo gruppo di sviluppatori.
Implicazioni strategiche
La diffusione di Darksword, sebbene limitata all'Ucraina, evidenzia l'impiego di strumenti di spionaggio sofisticati in modo selettivo e mirato. Il suo carattere "usa e sparisci" riduce drasticamente le possibilità di rilevamento, aumentando l'efficacia degli attacchi. L'espansione delle capacità verso il furto finanziario, pur non essendo dimostrata l'effettiva sottrazione di criptovalute in ogni caso, indica una flessibilità operativa inedita per gruppi legati a entità statali, suggerendo una potenziale convergenza tra obiettivi di intelligence ed economici.
Governance e criminalità: un confine labile
I casi di Coruna e Darksword sono emblematici della "second-hand exploit economy", dove strumenti militarizzati possono sfuggire al controllo iniziale e finire in mani diverse.
Come sottolineato dagli esperti, una volta commercializzate, tali tecnologie perdono il controllo sull'utilizzatore finale. Questo scenario evidenzia la fragilità dei meccanismi di controllo sulle tecnologie cyber-offensive. In un contesto di crescente guerra digitale e sorveglianza avanzata, il rischio maggiore non risiede nel toolkit in sé, ma nella facilità con cui strumenti così potenti possono essere riadattati e impiegati da attori statali o criminali, con conseguenze imprevedibili per la sicurezza informatica globale.
