# DarkSword iOS Campaign > [!critical] Três zero-days encadeados afetam 221,5 milhões de dispositivos iOS - cadeia de exploração mais sofisticada já documentada para iPhone > A campanha DarkSword representa o estado da arte em exploração iOS: 6 CVEs em cadeia, incluindo 3 zero-days ativos (PAC bypass, JavaScriptCore RCE, WebGL/ANGLE EoP), entregando três implantes distintos contra alvos governamentais e de defesa. A cadeia completa vai de link malicioso a controle total do dispositivo sem qualquer interação adicional do usuário além de clicar no link. ## Visão Geral A campanha DarkSword representa uma evolução significativa na exploração de dispositivos iOS, documentada a partir de setembro de 2025. Diferente de operações anteriores que utilizavam um único zero-day ou exploits de WebKit, a DarkSword encadeia seis vulnerabilidades distintas para construir uma cadeia de exploração completa desde o clique em um link até a instalação de implantes persistentes com acesso total ao dispositivo. Os três atores de ameaça identificados - [[unc6748|UNC6748]], [[pars-defense|PARS Defense]] e [[unc6353|UNC6353]] - operam com motivações distintas. O UNC6748 e PARS Defense possuem infraestrutura e TTPs consistentes com operações iranianas, enquanto UNC6353 apresenta sobreposições com grupos de língua russa previamente documentados. A presença de três grupos distintos usando componentes da mesma infraestrutura sugere que o framework de exploração pode ter sido desenvolvido como produto de inteligência e licenciado para múltiplos clientes estado-nação. O impacto técnico é amplificado pela escala: 221,5 milhões de dispositivos iOS rodando versões vulneráveis foram identificados na época das primeiras explorações. A vulnerabilidade [[cve-2026-20700|CVE-2026-20700]] (CVSS 9.8), um bypass de Pointer Authentication Code (PAC) - o mecanismo primário de defesa de memória do chip A-series da Apple - é particularmente grave por comprometer uma proteção considerada robusta. A família de malware implantada - GHOSTBLADE, GHOSTKNIFE e GHOSTSABER - representa uma plataforma modular de espionagem móvel com capacidades equivalentes ao [[pegasus|Pegasus]] do NSO Group em termos de acesso: câmera, microfone, localização GPS, mensagens criptografadas, e-mail, contatos e acesso persistente via daemon instalado em nível de sistema. ## Attack Flow ```mermaid graph TB A["Link Malicioso<br/>iMessage ou e-mail<br/>entregue ao alvo"] --> B["WebKit RCE<br/>CVE-2025-43529<br/>JavaScriptCore zero-day"] B --> C["Sandbox Escape<br/>CVE-2025-14174<br/>WebGL ANGLE zero-day"] C --> D["PAC Bypass<br/>CVE-2026-20700<br/>burla proteção de memória A-series"] D --> E["Kernel Escalation<br/>CVE-2025-24085 + CVE-2025-24086<br/>acesso root ao iOS kernel"] E --> F["Persistência<br/>Daemon instalado via<br/>CVE-2025-24201 WebKit patch bypass"] F --> G["Implante Ativo<br/>GHOSTBLADE principal<br/>GHOSTKNIFE e GHOSTSABER modulares"] ``` > **Atores:** UNC6748, PARS Defense, UNC6353 | **Zero-days:** CVE-2026-20700, CVE-2025-43529, CVE-2025-14174 | **Dispositivos expostos:** 221,5M ## Cronologia ```mermaid timeline title DarkSword iOS Campaign 2025-01 : CVE-2025-24085 e CVE-2025-24086 explorados em ataques limitados 2025-03 : Apple corrige CVE-2025-24201 - bypass de patch anterior 2025-09 : Cadeia DarkSword completa identificada em ataques ativos 2025-10 : Citizen Lab e Google TAG atribuem UNC6748 e PARS Defense 2025-11 : CVE-2025-43529 e CVE-2025-14174 confirmados como zero-days 2026-01 : CVE-2026-20700 (PAC bypass CVSS 9.8) divulgado - 221,5M dispositivos 2026-02 : Apple lança patches emergenciais - atualizações forçadas recomendadas 2026-03 : UNC6353 identificado como terceiro ator usando mesma infraestrutura ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploitation for Client Execution | [[t1203-exploitation-for-client-execution\|T1203]] | CVE-2025-43529 RCE via JavaScriptCore no Safari/WebKit | | Exploitation for Privilege Escalation | [[t1404-exploitation-for-privilege-escalation\|T1404]] | CVE-2025-14174 (ANGLE) e CVE-2026-20700 (PAC bypass) para acesso root | | System Information Discovery | [[t1426-system-information-discovery\|T1426]] | Reconhecimento do dispositivo antes de implantar payload específico | | Access Contact List | [[t1432-access-contact-list\|T1432]] | GHOSTBLADE extrai contatos para identificar relacionamentos do alvo | | Data from Local System | [[t1533-data-from-local-system\|T1533]] | Exfiltração de mensagens Signal, WhatsApp, e-mail e documentos | | Encrypted Channel | [[t1521-encrypted-channel\|T1521]] | Comúnicação C2 via canal cifrado personalizado embutido no GHOSTBLADE | ## Vítimas e Impacto **Escala técnica:** - 221,5 milhões de dispositivos iOS vulneráveis no momento das explorações iniciais - 6 CVEs encadeadas, incluindo 3 zero-days sem patch no momento dos ataques - 3 famílias de malware distintas com capacidades de espionagem completas **Alvos identificados:** - Funcionários governamentais de alto escalão no Oriente Médio e Israel - Jornalistas e pesquisadores cobrindo conflitos na região - Entidades de defesa e contratados de inteligência nos EUA e Europa - Empresas de tecnologia com acesso a propriedade intelectual estratégica **Capacidades dos implantes:** - **GHOSTBLADE**: implante principal - câmera, microfone, localização GPS, e-mail, agenda - **GHOSTKNIFE**: exfiltração de mensagens criptografadas (Signal, WhatsApp, Telegram) - **GHOSTSABER**: keylogger e captura de senhas para serviços cloud e VPN ## Relevância LATAM e Brasil A campanha DarkSword não teve alvos confirmados no Brasil ou América Latina, mas apresenta riscos indiretos significativos: - **Dispositivos iOS vulneráveis**: o Brasil é o terceiro maior mercado de iPhone da América Latina, com milhões de dispositivos potencialmente expostos - especialmente entre executivos, gestores públicos e jornalistas - **Espionagem corporativa**: grupos de inteligência comercial (distintos de estados) podem adquirir capacidades similares para espionagem corporativa em disputas jurídicas ou comerciais - **Precedente técnico**: a técnica de encadeamento de 6 CVEs para exploração iOS completa representa o estado da arte que outros atores tentarão replicar - **Proteção para usuários de alto risco**: jornalistas, defensores de direitos humanos e autoridades governamentais brasileiras devem ativar o **Modo de Isolamento** do iOS (Lockdown Mode) e manter atualizações automáticas sempre habilitadas ## Mitigação **Ações imediatas:** - Atualizar iOS para versão mais recente - patches para CVE-2026-20700 e CVE-2025-43529 são críticos - Ativar Lockdown Mode para usuários de alto risco (funcionalidade nativa do iOS desde versão 16) - Verificar lista de dispositivos conectados ao Apple ID - revogar sessões desconhecidas **Controles para organizações:** - Aplicar [[m1001-restrict-web-based-content|M1001]] - gerenciamento de dispositivos móveis (MDM) com políticas de atualização forçada - Implementar [[m1057-data-loss-prevention|M1057]] - políticas de DLP para dispositivos móveis corporativos - Monitorar via [[ds-0041-application-log|DS-0041]] - alertas de MDM para dispositivos desatualizados com acesso a dados sensíveis ## Referências - [1](https://citizenlab.ca/2025/10/darksword-ios-campaign/) Citizen Lab - DarkSword iOS Campaign Analysis (2025) - [2](https://blog.google/threat-analysis-group/ios-zero-day-chain-darksword/) Google TAG - iOS Zero-Day Chain: DarkSword Attribution (2025) - [3](https://support.apple.com/en-us/111900) Apple Security Advisory - Multiple iOS CVEs (2026) - [4](https://nvd.nist.gov/vuln/detail/CVE-2026-20700) NVD - CVE-2026-20700 Apple iOS PAC Bypass (2026) - [5](https://www.wired.com/story/darksword-ios-exploit-chain-2025/) WIRED - DarkSword iOS Attack Chain (2025)