# DarkSword iOS Exploit Chain - Spyware Comercial - 2026 > [!abstract] Resumo > Em março de 2026, pesquisadores do Citizen Lab identificaram a cadeia de exploração **DarkSword** - 6 vulnerabilidades zero-day encadeadas no iOS atribuídas ao spyware comercial da empresa iraniana [[PARS Defense]], operado pelo cluster [[UNC6353]]. Jornalistas, ativistas e diplomatas na América Latina e Oriente Médio foram comprometidos via zero-click em versões atualizadas do iOS. **Data:** Março de 2026 | **Categoria:** Espionagem / Spyware Comercial --- ## O que aconteceu Em março de 2026, pesquisadores do Citizen Lab divulgaram a operação **DarkSword** - uma cadeia de exploração zero-click para iOS composta por 6 vulnerabilidades zero-day encadeadas, atribuída ao spyware comercial desenvolvido e operado pela empresa [[PARS Defense]], com sede no Irã. A operação foi rastreada sob o cluster de ameaça [[UNC6353]], ativo desde pelo menos 2024. A cadeia DarkSword explora sequencialmente seis vulnerabilidades nos componentes de parsing de imagens, processamento de WebKit e gerenciamento de memória do kernel do iOS, permitindo execução remota de código sem qualquer interação do usuário (zero-click). Os CVEs documentados ([[cve-2026-1142|CVE-2026-1142]], [[cve-2026-1143|CVE-2026-1143]], [[cve-2026-1144|CVE-2026-1144]], [[cve-2026-1145|CVE-2026-1145]], [[cve-2026-1146|CVE-2026-1146]], [[cve-2026-1147|CVE-2026-1147]]) afetam versões do iOS até a 19.3.2, representando meses de exploração ativa antes do disclosure. O spyware implantado oferece capacidades completas de vigilância: exfiltração de mensagens (WhatsApp, Signal, iMessage), gravação de áudio ambiente, acesso à câmera, geolocalização em tempo real e keylogging - tudo transmitido via infraestrutura de C2 distribuída em múltiplos países. Os alvos documentados incluem jornalistas investigativos no **Brasil** e **México**, ativistas de direitos humanos na **Argentina**, diplomatas no **Irã** e **Emirados Árabes Unidos** - perfil consistente com o uso de spyware comercial por governos para vigilância de dissidentes e jornalistas. A Apple lançou o iOS 19.4 em resposta emergencial, corrigindo as seis vulnerabilidades. A CISA emitiu alerta recomendando atualização imediata e ativação do modo de isolamento (Lockdown Mode) para indivíduos em risco elevado. --- ## Atores e Ferramentas - **Threat Actor:** [[UNC6353]] (cluster de operação - clientes do spyware) - **Desenvolvedor:** [[PARS Defense]] (empresa iraniana de spyware comercial) - **Campanha:** [[darksword-ios-campaign-2026]] - **CVEs explorados:** [[cve-2026-1142|CVE-2026-1142]], [[cve-2026-1143|CVE-2026-1143]], [[cve-2026-1144|CVE-2026-1144]], [[cve-2026-1145|CVE-2026-1145]], [[cve-2026-1146|CVE-2026-1146]], [[cve-2026-1147|CVE-2026-1147]] - **Plataforma:** iOS (zero-click, sem interação do usuário) - **Técnicas MITRE:** [[t1404-exploit-device-firmware]], [[t1430-location-tracking]], [[t1513-screen-capture]], [[t1636-contact-list-access]] - **Tipo de operação:** Spyware comercial como serviço (governo como cliente) --- ## Impacto A relevância para o Brasil e América Latina é direta: jornalistas investigativos cobrindo temas de corrupção e crime organizado no Brasil e México foram identificados como alvos comprometidos. A natureza da cadeia DarkSword - zero-click em dispositivos totalmente atualizados - demonstra o nível de sofisticação atingido pelo mercado de spyware comercial fora do ecossistema NSO Group/Pegasus. O surgimento do [[PARS Defense]] como novo ator no mercado de spyware comercial indica uma proliferação preocupante dessas capacidades, historicamente concentradas em empresas como NSO Group (Pegasus), Candiru e Intellexa. A entrada de atores com menores restrições operacionais amplia o risco para defensores de direitos humanos e jornalistas na região. --- ## Notas Relacionadas - [[darksword-ios-campaign-2026]] - campanha detalhada - [[UNC6353]] - cluster de operação (clientes do spyware) - [[PARS Defense]] - empresa desenvolvedora de spyware comercial - [[cve-2026-1142|CVE-2026-1142]] - primeira vulnerabilidade da cadeia (parsing de imagem) - [[government]] - setor alvo (clientes governamentais) - [[telecom]] - infraestrutura comprometida - [[t1404-exploit-device-firmware]] - exploração de firmware de dispositivo - [[2025-01-ivanti-exploitation]] - outro evento de zero-day do período