# GHOSTSABER > [!high] Backdoor iOS da Cadeia DarkSword - Vigilância Comercial Contra Ucranianos e Alvos no Oriente Médio > GHOSTSABER é um backdoor JavaScript de estágio final da cadeia de exploits iOS **DarkSword**, usado pelo grupo UNC6353 e pelo fornecedor de vigilância comercial PARS Defense. Opera inteiramente em memória após comprometimento do iOS, exfiltrando dados de dispositivo para servidores C2 sem deixar artefatos em disco. ## Descrição GHOSTSABER é um dos três payloads finais da cadeia de exploits iOS **DarkSword**, documentada pelo Google Threat Intelligence Group em março de 2026. A cadeia DarkSword explora seis vulnerabilidades encadeadas em versões do iOS de 18.4 a 18.7, permitindo acesso kernel read/write e escape de sandbox antes de implantar o payload final. O GHOSTSABER é implementado como um **backdoor JavaScript** injetado no processo Springboard (a interface do sistema iOS), o que lhe confere acesso privilegiado a áreas restritas do sistema de arquivos após a modificação de sandbox realizada pelos estágios anteriores da cadeia. Por operar inteiramente em memória como parte da cadeia JavaScript do DarkSword, deixa pouquíssimos artefatos forenses no dispositivo comprometido, tornando sua detecção extremamente difícil. O GHOSTSABER foi implantado em campanhas distintas por dois atores diferentes: o grupo **UNC6353** (suspeito de nexo russo) em ataques de watering hole contra usuários ucranianos, e o fornecedor de vigilância comercial turco **PARS Defense** em campanhas contra alvos na Turquia e Malásia em novembro de 2025 e janeiro de 2026. Essa reutilização da cadeia DarkSword por múltiplos atores indica que a tecnologia pode ter sido licenciada ou vendida como produto de vigilância comercial. O GHOSTSABER se diferencia dos outros dois payloads da família: o **[[ghostblade|GHOSTBLADE]]** foca em escalada de privilégio e acesso ao sistema de arquivos privilegiado, enquanto o **GHOSTKNIFE** oferece capacidades alternativas de estágio final. O GHOSTSABER é selecionado quando os operadores precisam de execução remota de código arbitrário e exfiltração flexível de dados. ## Técnicas Utilizadas | Tática | Técnica | Descrição | |--------|---------|-----------| | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta dados de apps instalados e áreas restritas do filesystem | | Collection | [[t1119-automated-collection\|T1119]] | Exfiltração automática de dados estruturados para C2 | | Command & Control | [[t1133-external-remote-services\|T1133]] | Canais HTTPS persistentes para comunicação com C2 | | Command & Control | [[t1041-exfiltration-over-c2-channel\|T1041]] | Envio de dados roubados pelo mesmo canal C2 | | Execution | [[t1059-007-javascript\|T1059.007]] | Execução de JavaScript arbitrário no contexto do Springboard | ## Grupos que Usam - [[unc6353]] - grupo de espionagem (nexo russo suspeito), campanhas de watering hole contra ucranianos - [[pars-defense]] - fornecedor de vigilância comercial turco, campanhas contra alvos na Turquia e Malásia (nov 2025 - jan 2026) ## Detecção 1. **Monitorar tráfego HTTPS de saída incomum em dispositivos iOS gerenciados** - GHOSTSABER usa HTTPS para comunicação C2. Em ambientes corporativos com MDM (Mobile Device Management), inspecionar conexões para domínios não reconhecidos com padrões de beaconing regulares. 2. **Análise de integridade do Springboard** - o payload é injetado no processo Springboard. Soluções de detecção mobile (como Lookout, Zimperium) que monitoram integridade de processos do sistema podem identificar anomalias no comportamento do Springboard. 3. **Detecção baseada em indicadores de rede** - o Google TAG públicou indicadores de rede relacionados à infraestrutura DarkSword. Bloquear ou alertar para conexões com esses indicadores em firewalls corporativos com acesso a tráfego mobile. 4. **Atualização imediata do iOS** - a cadeia DarkSword explora vulnerabilidades nas versões 18.4-18.7 do iOS. O principal controle é manter dispositivos atualizados. Apple lançou patches em março de 2026. ## Relevância LATAM/Brasil O GHOSTSABER foi documentado principalmente em campanhas contra usuários ucranianos e alvos no Oriente Médio. No entanto, o modelo de **vigilância comercial como serviço** representado pelo PARS Defense e pela cadeia DarkSword tem relevância direta para o Brasil: governos latino-americanos historicamente adquirem tecnologias de vigilância comercial de fornecedores internacionais (como o caso Pegasus/NSO Group). Atores estatais ou privados no Brasil poderiam potencialmente utilizar tecnologia similar contra jornalistas, ativistas e oponentes políticos - padrão documentado em outros países da região. ## Referências - [1](https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain) Google Threat Intelligence - DarkSword iOS Exploit Chain (2026) - [2](https://thehackernews.com/2026/03/darksword-ios-exploit-kit-uses-6-flaws.html) The Hacker News - DarkSword iOS Exploit Kit Uses 6 Flaws (2026) - [3](https://www.securityweek.com/darksword-ios-exploit-kit-used-by-state-sponsored-hackers-spyware-vendors/) SecurityWeek - DarkSword iOS Exploit Kit (2026) - [4](https://www.lookout.com/threat-intelligence/article/darksword) Lookout - DarkSword Threat Intelligence (2026)