{"id":396,"date":"2026-03-28T10:19:47","date_gmt":"2026-03-28T10:19:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/28\/ta446-implementa-el-kit-de-explotacion-darksword-para-ios-en-una-campana-de-phishing-dirigida-cyberdefensa-mx\/"},"modified":"2026-03-28T10:19:47","modified_gmt":"2026-03-28T10:19:47","slug":"ta446-implementa-el-kit-de-explotacion-darksword-para-ios-en-una-campana-de-phishing-dirigida-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/28\/ta446-implementa-el-kit-de-explotacion-darksword-para-ios-en-una-campana-de-phishing-dirigida-cyberdefensa-mx\/","title":{"rendered":"TA446 implementa el kit de explotaci\u00f3n DarkSword para iOS en una campa\u00f1a de phishing dirigida \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Punto de prueba tiene revelado<\/a> detalles de una campa\u00f1a de correo electr\u00f3nico dirigida en la que actores de amenazas con v\u00ednculos con Rusia est\u00e1n aprovechando el kit de explotaci\u00f3n DarkSword recientemente revelado para apuntar a dispositivos iOS.<\/p>\n

La actividad se ha atribuido con gran confianza al grupo de amenazas patrocinado por el estado ruso conocido como TA446, que tambi\u00e9n es rastreado por la comunidad de ciberseguridad m\u00e1s amplia bajo los apodos Callisto, COLDRIVER y Star Blizzard (anteriormente SEABORGIUM). Se considera que est\u00e1 afiliado al Servicio Federal de Seguridad (FSB) de Rusia.<\/p>\n

El grupo de hackers es conocido por sus campa\u00f1as de phishing dirigidas a recopilar credenciales de objetivos de inter\u00e9s. Sin embargo, los ataques organizados por el actor de amenazas durante el a\u00f1o pasado se dirigieron a las cuentas de WhatsApp de las v\u00edctimas y aprovecharon varias familias de malware personalizadas para robar datos confidenciales.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La \u00faltima actividad, destacada por Punto de prueba<\/a> y Malfors<\/a>implica el uso de correos electr\u00f3nicos falsos de \u00abinvitaci\u00f3n a discusi\u00f3n\u00bb que suplantan al Atlantic Council para facilitar la entrega de GHOSTBLADE, un malware de miner\u00eda de datos, a trav\u00e9s del kit de explotaci\u00f3n DarkSword. Los correos electr\u00f3nicos fueron enviados por remitentes comprometidos el 26 de marzo de 2026. Uno de los destinatarios de correo electr\u00f3nico<\/a> era Leonid V\u00f3lkov<\/a>un destacado pol\u00edtico de la oposici\u00f3n rusa y director pol\u00edtico de la Fundaci\u00f3n Anticorrupci\u00f3n.<\/p>\n

Se dice que un an\u00e1lisis automatizado activado por las herramientas de seguridad de Proofpoint ha redirigido a un documento PDF se\u00f1uelo benigno, probablemente debido al filtrado del lado del servidor implementado para llevar solo a los navegadores de iPhone al kit de exploits.<\/p>\n

\"\"<\/a><\/div>\n

\u00abNo hemos observado anteriormente que TA446 apunte a las cuentas de iCloud de los usuarios o a los dispositivos Apple, pero la adopci\u00f3n del kit de explotaci\u00f3n DarkSword iOS filtrado ahora ha permitido al actor apuntar a dispositivos iOS\u00bb, dijo Proofpoint.<\/p>\n

La firma de seguridad empresarial tambi\u00e9n se\u00f1al\u00f3 que el volumen de correos electr\u00f3nicos del actor de amenazas ha sido \u00absignificativamente mayor\u00bb en las \u00faltimas dos semanas, y agreg\u00f3 que estos ataques conducen al despliegue de una puerta trasera conocida denominada MAYBEROBOT a trav\u00e9s de archivos ZIP protegidos con contrase\u00f1a.<\/p>\n

El uso de DarkSword por parte del grupo tambi\u00e9n ha sido corroborado por el hecho de que un cargador DarkSword subido a VirusTotal<\/a> se ha encontrado que hace referencia a \u00abescofiringbijou[.]com<\/a>\u00ab, un dominio de segunda etapa atribuido al actor de la amenaza.<\/p>\n

Un escaneo de URL[.]el resultado io tiene revel\u00f3<\/a> que el dominio controlado por TA446 ha servido al kit de explotaci\u00f3n DarkSword, incluido el redirector inicial, el cargador de explotaci\u00f3n, la ejecuci\u00f3n remota de c\u00f3digo y los componentes de omisi\u00f3n del C\u00f3digo de autenticaci\u00f3n de puntero (PAC). Sin embargo, no hay evidencia de que se hayan entregado escapes de la zona de pruebas.<\/p>\n

Se sospecha que el TA446 est\u00e1 reutilizando el kit de exploits DarkSword para la recolecci\u00f3n de credenciales y de inteligencia, y Proofpoint se\u00f1al\u00f3 que el objetivo observado en la campa\u00f1a de correo electr\u00f3nico fue \u00abmucho m\u00e1s amplio de lo habitual\u00bb e incluy\u00f3 al gobierno, grupos de expertos, entidades de educaci\u00f3n superior, financieras y legales.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Esto, a su vez, ha planteado la posibilidad de que el actor de amenazas est\u00e9 aprovechando la nueva capacidad que ofrece DarkSword como parte de una campa\u00f1a oportunista contra un conjunto de objetivos m\u00e1s amplio.<\/p>\n

El desarrollo se produce cuando Apple comenz\u00f3 a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados \u200b\u200ben la web e instarlos a instalar la actualizaci\u00f3n para bloquear la amenaza. Este paso inusual indica que la empresa lo est\u00e1 tratando como una amenaza lo suficientemente amplia que requiere la atenci\u00f3n inmediata de los usuarios.<\/p>\n

La advertencia de Apple tambi\u00e9n coincide con la filtraci\u00f3n de una nueva versi\u00f3n de DarkSword en GitHub, lo que genera preocupaciones de que podr\u00edan democratizar el acceso a exploits de estados-naci\u00f3n, cambiando fundamentalmente el panorama de amenazas m\u00f3viles.<\/p>\n

Justin Albrecht, investigador principal de Lookout, dijo que la versi\u00f3n filtrada, plug-and-play, permite incluso a actores de amenazas no calificados implementar el kit de espionaje avanzado de iOS, convirti\u00e9ndolo en malware b\u00e1sico.<\/p>\n

\u00abDarkSword refuta la creencia com\u00fan de que los iPhone son inmunes a las amenazas cibern\u00e9ticas y que los ataques m\u00f3viles avanzados s\u00f3lo se utilizan en esfuerzos dirigidos contra gobiernos y funcionarios de alto rango\u00bb, a\u00f1adi\u00f3 Albrecht.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Punto de prueba tiene revelado detalles de una campa\u00f1a de correo electr\u00f3nico dirigida en la que actores de amenazas con v\u00ednculos con Rusia est\u00e1n aprovechando el kit de explotaci\u00f3n DarkSword recientemente revelado para apuntar a dispositivos iOS. La actividad se ha atribuido con gran confianza al grupo de amenazas patrocinado por el estado ruso conocido […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[133,24,1047,462,106,226,404,427,36,365,1381,132],"class_list":["post-396","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-campana","tag-cyberdefensa-mx","tag-darksword","tag-dirigida","tag-explotacion","tag-implementa","tag-ios","tag-kit","tag-para","tag-phishing","tag-ta446","tag-una"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/396","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=396"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/396\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=396"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=396"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=396"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}