Investigadores de Google detectan a hackers rusos robando datos de usuarios de iPhone en Ucrania

Especialistas de Google, junto a las firmas de ciberseguridad iVerify y Lookout, detectaron la existencia de un nuevo método de ciberataque denominado Darksword, el cual ha afectado a usuarios de iPhone en Ucrania.

Según los hallazgos, detrás de estas acciones estaría un grupo de hackers vinculados al gobierno ruso, quienes emplearon herramientas avanzadas para sustraer información personal y, potencialmente, criptomonedas.

La investigación identificó que el grupo UNC6353, sospechoso de operar en línea con los intereses de la inteligencia rusa, lanzó ataques contra usuarios que accedían a sitios web comprometidos desde territorio ucraniano. Los especialistas analizaron la campaña tras encontrar similitudes con otra operación previa en la que se empleó un kit de hackeo conocido como Coruna.

Este último había sido utilizado por agentes rusos y, posteriormente, por ciberdelincuentes chinos para robar criptomonedas.

Coruna fue originalmente desarrollado para uso de gobiernos occidentales, en especial para los miembros de la alianza de inteligencia Five Eyes (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda). Sin embargo, la herramienta terminó en manos de actores estatales y criminales de otros países, lo que facilitó el desarrollo de campañas de espionaje dirigidas a Ucrania.

Darksword: robo rápido y modularidad profesional

El nuevo kit, Darksword, fue diseñado para acceder y exfiltrar información sensible de los dispositivos infectados, como contraseñas, fotos, mensajes de WhatsApp y Telegram, mensajes de texto e historial de navegación. A diferencia de otros programas espía persistentes, Darksword opera bajo una lógica de “ataque relámpago”: infecta el dispositivo, roba datos y se borra rápidamente, todo en cuestión de minutos.

De acuerdo con Lookout, la herramienta también puede sustraer criptomonedas de aplicaciones de billeteras digitales, un aspecto poco frecuente en operaciones atribuidas a grupos estatales, lo que sugiere la posibilidad de motivaciones financieras además de espionaje. No obstante, los investigadores no encontraron pruebas de que los atacantes estuvieran realmente interesados en el robo de criptoactivos, solo que el malware contaba con esa capacidad.

La modularidad y la facilidad para añadir nuevas funciones muestran que Darksword fue desarrollado por profesionales. Rocky Cole, cofundador de iVerify, considera probable que el mismo proveedor de Coruna haya vendido Darksword al grupo ruso. “Todas las señales apuntan al gobierno ruso,” afirmó Cole, mientras que Lookout sostiene que se trata del mismo grupo responsable de ataques previos con Coruna.

Un objetivo amplio y métodos de infección masiva

La campaña identificada no se centró en personas o perfiles específicos, sino que infectaba a cualquier usuario que visitara determinados sitios web ucranianos desde dentro del país. Según explicó a TechCrunch Justin Albrecht, investigador principal de Lookout, UNC6353 actúa como un actor bien financiado y conectado, con objetivos de espionaje e intereses financieros alineados con los requerimientos de la inteligencia rusa.

La operación, definida como “smash-and-grab”, buscaba obtener patrones de vida y hábitos de las víctimas a través de accesos breves pero efectivos a la información almacenada en los iPhone.

El descubrimiento de Darksword refuerza la preocupación sobre la proliferación de herramientas de espionaje avanzadas para dispositivos Apple, que antes se consideraban poco accesibles para ataques masivos. La investigación destaca la necesidad de reforzar la ciberseguridad y concientizar a los usuarios sobre los riesgos crecientes en el contexto del conflicto en Ucrania, donde el espionaje digital se suma a la guerra convencional.