Investigadores de Google detectan a hackers rusos robando datos de usuarios de iPhone en Ucrania

Los ciberdelincuentes emplearon el malware Darksword para realizar sus ataques, en una campaña que evidencia la sofisticación y el alcance del espionaje digital en el conflicto armado.

Especialistas de Google, junto a las firmas de ciberseguridad iVerify y Lookout, detectaron la existencia de un nuevo método de ciberataque denominado Darksword, el cual ha afectado a usuarios de iPhone en Ucrania.

Según los hallazgos, detrás de estas acciones estaría un grupo de hackers vinculados al gobierno ruso, quienes emplearon herramientas avanzadas para sustraer información personal y, potencialmente, criptomonedas.

La investigación identificó que el grupo UNC6353, sospechoso de operar en línea con los intereses de la inteligencia rusa, lanzó ataques contra usuarios que accedían a sitios web comprometidos desde territorio ucraniano. Los especialistas analizaron la campaña tras encontrar similitudes con otra operación previa en la que se empleó un kit de hackeo conocido como Coruna.

• Este último había sido utilizado por agentes rusos y, posteriormente, por ciberdelincuentes chinos para robar criptomonedas.

Coruna fue originalmente desarrollado para uso de gobiernos occidentales, en especial para los miembros de la alianza de inteligencia Five Eyes (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda). Sin embargo, la herramienta terminó en manos de actores estatales y criminales de otros países, lo que facilitó el desarrollo de campañas de espionaje dirigidas a Ucrania.

Darksword: robo rápido y modularidad profesional

El nuevo kit, Darksword, fue diseñado para acceder y exfiltrar información sensible de los dispositivos infectados, como contraseñas, fotos, mensajes de WhatsApp y Telegram, mensajes de texto e historial de navegación. A diferencia de otros programas espía persistentes, Darksword opera bajo una lógica de “ataque relámpago”: infecta el dispositivo, roba datos y se borra rápidamente, todo en cuestión de minutos.

Según la firma de ciberseguridad Lookout, el malware Darksword podía robar criptomonedas de billeteras digitales, algo inusual en operaciones atribuidas a grupos estatales, lo que sugiere posibles fines financieros además del espionaje. Sin embargo, no se encontraron pruebas de que los atacantes realmente buscaran esos activos, solo que el programa tenía esa capacidad.

La estructura modular del malware y la facilidad para añadir nuevas funciones indican un desarrollo profesional. Expertos como Rocky Cole, de iVerify, consideran probable que el mismo proveedor de Coruna haya vendido Darksword a un grupo ruso, tesis respaldada por indicios que apuntan a vínculos con el gobierno de Rusia y ataques previos.

La campaña no se dirigía a objetivos específicos, sino que infectaba de forma masiva a cualquier usuario dentro de Ucrania que visitara ciertos sitios web. Esto sugiere la acción de un actor bien financiado y con conexiones sólidas, con intereses de espionaje y posibles motivaciones económicas alineadas con la inteligencia rusa.

• La operación, definida como “smash-and-grab”, buscaba obtener patrones de vida y hábitos de las víctimas a través de accesos breves pero efectivos a la información almacenada en los iPhone.

El descubrimiento de Darksword refuerza la preocupación sobre la proliferación de herramientas de espionaje avanzadas para dispositivos Apple, que antes se consideraban poco accesibles para ataques masivos.

• La investigación destaca la necesidad de reforzar la ciberseguridad y concientizar a los usuarios sobre los riesgos crecientes en el contexto del conflicto en Ucrania, donde el espionaje digital se suma a la guerra convencional.