{"id":289,"date":"2026-03-18T14:56:15","date_gmt":"2026-03-18T14:56:15","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/el-segundo-kit-de-explotacion-de-ios-surge-de-presuntos-piratas-informaticos-rusos-que-utilizan-posibles-herramientas-desarrolladas-por-el-gobierno-de-ee-uu\/"},"modified":"2026-03-18T14:56:15","modified_gmt":"2026-03-18T14:56:15","slug":"el-segundo-kit-de-explotacion-de-ios-surge-de-presuntos-piratas-informaticos-rusos-que-utilizan-posibles-herramientas-desarrolladas-por-el-gobierno-de-ee-uu","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/el-segundo-kit-de-explotacion-de-ios-surge-de-presuntos-piratas-informaticos-rusos-que-utilizan-posibles-herramientas-desarrolladas-por-el-gobierno-de-ee-uu\/","title":{"rendered":"El segundo kit de explotaci\u00f3n de iOS surge de presuntos piratas inform\u00e1ticos rusos que utilizan posibles herramientas desarrolladas por el gobierno de EE. UU."},"content":{"rendered":"<div>\n<p>Los investigadores han descubierto un segundo caso de presuntos piratas inform\u00e1ticos rusos que reutilizaron exploits de iOS que se cree que fueron creados originalmente en nombre del gobierno de los EE. UU., lo que se\u00f1ala lo que dicen que son varias tendencias premonitorias.<\/p>\n<p><a href=\"https:\/\/iverify.io\/blog\/darksword-ios-exploit-kit-explained\">iVerificar<\/a>, <a href=\"https:\/\/www.lookout.com\/blog\/darksword\">Estar atento<\/a> y Google colaboraron en la investigaci\u00f3n publicada el mi\u00e9rcoles, una continuaci\u00f3n de revelaciones anteriores sobre un kit de explotaci\u00f3n similar, Coru\u00f1a. Si bien el segundo kit, denominado DarkSword, tambi\u00e9n estaba dirigido a usuarios en Ucrania, la escala es significativa: iVerify estim\u00f3 que hasta 270 millones de usuarios de iPhone podr\u00edan ser susceptibles, mientras que Lookout le dijo a CyberScoop que aproximadamente el 15% de todos los dispositivos iOS actualmente en uso ejecutan iOS 18 o versiones anteriores y podr\u00edan ser vulnerables al kit de explotaci\u00f3n.<\/p>\n<p>La investigaci\u00f3n revela una serie de nuevos detalles, as\u00ed como patrones interesantes:<\/p>\n<ul class=\"wp-block-list\">\n<li>Mientras que los piratas inform\u00e1ticos rusos y chinos utilizaron Coru\u00f1a con fines de lucro, hay indicios de que DarkSword podr\u00eda servir tanto para fines financieros como de vigilancia, y\/o podr\u00eda usarse para infligir da\u00f1o.<\/li>\n<li>Lookout observ\u00f3 que alguien utiliz\u00f3 un modelo de lenguaje grande para personalizar tanto Coru\u00f1a como DarkSword.<\/li>\n<li>El descubrimiento de DarkSword refuerza las preocupaciones anteriores sobre un mercado secundario de exploits, dijeron Lookout e iVerify.<\/li>\n<li>DarkSword es la segunda campa\u00f1a \u00abmasiva\u00bb de iOS descubierta este mes, siendo la primera conocida Coru\u00f1a.<\/li>\n<li>Ambos kits sugieren que los ciberataques est\u00e1n migrando hacia los tel\u00e9fonos m\u00f3viles, ya que representan una mayor porci\u00f3n del tr\u00e1fico de Internet, dijo a CyberScoop Rocky Cole, cofundador y director de operaciones de iVerify.<\/li>\n<li>Google tambi\u00e9n descubri\u00f3 que DarkSword se utiliz\u00f3 contra objetivos en Arabia Saudita, Turqu\u00eda y Malasia.<\/li>\n<\/ul>\n<p>DarkSword puede filtrar contrase\u00f1as guardadas, billeteras criptogr\u00e1ficas, mensajes de texto y m\u00e1s, seg\u00fan descubrieron los investigadores. Los atacantes est\u00e1n aprovechando el kit de explotaci\u00f3n comprometiendo primero el WebKit de Apple y luego usando WebGPU como punto de pivote para escapar de la zona de pruebas, seg\u00fan Justin Albrecht, director global de inteligencia de amenazas m\u00f3viles de Lookout.<\/p>\n<p>Lo que no est\u00e1 tan claro es qui\u00e9n, exactamente, est\u00e1 detr\u00e1s del kit de exploits, adem\u00e1s de los v\u00ednculos con Rusia. Cole dijo que DarkSword est\u00e1 alojado en la misma infraestructura de comando y control que Coru\u00f1a, pero es un kit completamente separado creado por personas completamente diferentes. <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/darksword-ios-exploit-chain\">Google ha atribuido las campa\u00f1as<\/a> a un grupo al que rastrea como UNC6353, al que describe como un grupo de espionaje respaldado por Rusia, as\u00ed como UNC6748 y el proveedor turco de vigilancia comercial PARS Defense. <\/p>\n<p>Los motivos de los atacantes tambi\u00e9n son un poco opacos, mezclando lo que parecen ser tanto espionaje como objetivos financieros. Albrecht se\u00f1al\u00f3 que hay un precedente para esto: los grupos de amenazas rusos han atacado las criptomonedas en Ucrania antes, en particular con Infamous Chisel, un kit de explotaci\u00f3n de Android implementado por Sandworm. <\/p>\n<p>\u00abProbablemente est\u00e9n bien financiados y bien conectados, pero se ha confirmado que est\u00e1n robando criptomonedas. Definitivamente hay una motivaci\u00f3n financiera\u00bb, dijo Albrecht a CyberScoop. \u00abAhora, creo que la gran pregunta es, dependiendo de qui\u00e9n sea el grupo, \u00bfla motivaci\u00f3n financiera en esto es simplemente hacer da\u00f1o a los ucranianos o es robar criptomonedas?\u00bb<\/p>\n<p>Rusia ha estado bajo duras sanciones durante mucho tiempo y est\u00e1 empezando a tener problemas presupuestarios debido a la guerra en curso en Ucrania, se\u00f1al\u00f3. \u00ab\u00bfPor qu\u00e9 no empezar a financiar sus operaciones con fondos robados? No estar\u00eda fuera de la norma, aunque ser\u00eda un cambio potencial en sus TTP para las APT rusas en general\u00bb, dijo Albrecht. <\/p>\n<p>El kit podr\u00eda ser \u00fatil para alguien que intente hacer un an\u00e1lisis de \u201cpatrones de vida\u201d, dijo Cole, y por lo tanto \u00fatil para fines de vigilancia e inteligencia.<\/p>\n<p>Dijo que un proveedor comercial de software esp\u00eda podr\u00eda haber fabricado el kit sin ning\u00fan p\u00fablico objetivo en mente, de ah\u00ed su calidad de \u201cnavaja suiza\u201d. La principal preocupaci\u00f3n para Cole es que aparentemente hay un mercado creciente para este tipo de herramientas, y la gente puede sentirse adormecida con una falsa sensaci\u00f3n de seguridad acerca de que los iPhone no son vulnerables.<\/p>\n<p>A pesar de la sofisticaci\u00f3n de los exploits en s\u00ed, los actores de amenazas detr\u00e1s de DarkSword pueden no tener mucha experiencia, dijo Albrecht. Ninguno de los c\u00f3digos JavaScript o HTML estaba ofuscado de ninguna manera, y el componente del lado del servidor estaba etiquetado como \u201cReceptor de archivos Dark Sword\u201d, una seguridad operativa deficiente para un actor de amenazas ruso experimentado.<\/p>\n<p>\u201cYo esperar\u00eda que sus experimentados actores de amenazas rusos, sus APT29 del mundo, tuvieran mejores OPSEC\u201d, dijo Albrecht.<\/p>\n<p>Uno de los hallazgos m\u00e1s inusuales de la investigaci\u00f3n es la clara presencia de c\u00f3digo generado por modelos de lenguaje de gran tama\u00f1o. El componente del lado del servidor de DarkSword, por ejemplo, incluye signos reveladores de c\u00f3digo generado por IA, completo con notas detalladas y comentarios caracter\u00edsticos del resultado LLM. Es un desarrollo que efectivamente reduce la barrera de entrada para el despliegue de exploits m\u00f3viles avanzados, incluso entre actores patrocinados por el estado, dijo Albrecht.<\/p>\n<p>Los tres equipos de investigaci\u00f3n han estado en contacto con Apple sobre los hallazgos, seg\u00fan Albrecht, y es probable que Google haya estado en contacto m\u00e1s cercano desde que comenzaron a investigar la amenaza a fines de 2025. En su blog, Google dijo que inform\u00f3 a Apple de las vulnerabilidades utilizadas en DarkSword a fines de 2025, y que todas las vulnerabilidades fueron reparadas con el lanzamiento de iOS 26.3, aunque la mayor\u00eda fueron parcheadas antes.<\/p>\n<footer class=\"single-article__footer\">\n<div class=\"author-card\">\n<p><h4 class=\"author-card__name\">Escrito por Tim Starks y Greg Otto<\/h4>\n<\/p><\/div>\n<\/footer><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores han descubierto un segundo caso de presuntos piratas inform\u00e1ticos rusos que reutilizaron exploits de iOS que se cree que fueron creados originalmente en nombre del gobierno de los EE. UU., lo que se\u00f1ala lo que dicen que son varias tendencias premonitorias. iVerificar, Estar atento y Google colaboraron en la investigaci\u00f3n publicada el mi\u00e9rcoles, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":290,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[1017,106,1018,205,540,404,427,539,127,398,1015,1016,1013,1014,92],"class_list":["post-289","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-latest","tag-desarrolladas","tag-explotacion","tag-gobierno","tag-herramientas","tag-informaticos","tag-ios","tag-kit","tag-piratas","tag-por","tag-posibles","tag-presuntos","tag-rusos","tag-segundo","tag-surge","tag-utilizan"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/289","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=289"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/289\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/290"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=289"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=289"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=289"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}