O spyware DarkSword para iPhone foi identificado pelo Google Threat Intelligence Group (GTIG), pela Lookout e pela iVerify como parte de um arsenal de ciberespionagem alegadamente operado por grupos ligados ao governo russo. Os ataques visaram principalmente alvos ucranianos, mas registos de intrusão apontam também para a Arábia Saudita, a Turquia e a Malásia. A Apple emitiu um alerta oficial e recomenda a atualização imediata de todos os dispositivos.
Um arsenal com duas faces
O GTIG (Google Threat Intelligence Group), em conjunto com a Lookout e a iVerify, publicou esta semana uma análise detalhada de dois kits de exploits: o DarkSword e o Coruna. O primeiro visa iPhones com versões iOS 18.4 a 18.6.2 e consegue extrair palavras-passe, fotografias, credenciais de carteiras de criptomoedas, mensagens do WhatsApp e do Telegram, histórico de navegação e registos de chamadas, apagando os seus rastos após a intrusão. O segundo é um pacote de 23 componentes, identificado no início de março de 2026.
O grupo de ameaça persistente UNC6353 está a usar ambas as ferramentas em ataques do tipo watering hole (técnica que consiste em comprometer sites legítimos frequentados pelos alvos, como portais de notícias e plataformas governamentais). A iVerify estima que até 270 milhões de utilizadores possam estar expostos. A Lookout acrescenta que cerca de 15% de todos os dispositivos iOS em uso continuam a correr versões vulneráveis do sistema operativo.
De contratante americano a espiões russos
Segundo o TechCrunch, que relatou os resultados da análise forense conduzida pelos investigadores, o toolkit Coruna terá sido originalmente desenvolvido pela empresa norte-americana L3Harris, contratante do setor de defesa dos EUA. A L3Harris não confirmou publicamente esta atribuição. A ferramenta terá chegado às mãos de operativos russos e de cibercriminosos chineses por um caminho que os investigadores ainda não conseguiram reconstituir na totalidade.
Rocky Cole, cofundador da iVerify, afirmou ao TechCrunch: “Todos os indícios apontam para o governo russo.” O investigador Justin Albrecht, da Lookout, descreve o UNC6353 como “um agente de ameaça bem financiado, a conduzir ataques para ganho financeiro e espionagem em alinhamento com os requisitos dos serviços de inteligência russos.” Ambas as afirmações são alegações baseadas em análise comportamental e de infraestrutura, não existindo confirmação oficial de qualquer governo.
A IA ao serviço dos atacantes
Um dado que merece destaque é o uso de modelos de linguagem de grande escala na personalização de ambos os toolkits. O componente servidor do DarkSword continha código gerado por IA com comentários técnicos detalhados, uma falha grave de segurança operacional para um agente ligado a um Estado. Alguns especialistas alertam, porém, para a possibilidade de se tratar de uma técnica deliberada de false flag, destinada a dificultar a atribuição a um ator específico.
Corrigido, mas o risco persiste
A Apple declarou estar “ciente de um relatório indicando que este problema pode ter sido explorado num ataque extremamente sofisticado contra indivíduos específicos em versões do iOS anteriores ao iOS 26.” Todas as vulnerabilidades foram corrigidas com o lançamento do iOS 26.3 em fevereiro de 2026; a versão iOS 26.3.1, lançada em março, introduziu correções adicionais. O Google reportou as falhas à Apple no final de 2025.
Como proteger o seu iPhone
| Medida | Como aplicar |
|---|---|
| Atualizar o iOS | Definições > Geral > Atualização de Software |
| Reiniciar o dispositivo | Um reinício simples elimina malware residente na memória volátil |
| Ativar o Modo de Isolamento | Definições > Privacidade e Segurança > Modo de Isolamento |
| Evitar sites não verificados | Não clicar em ligações de origem desconhecida |
Para utilizadores com perfil de alto risco (jornalistas, ativistas, funcionários governamentais), o Modo de Isolamento (Lockdown Mode) continua a ser a proteção mais robusta disponível no iOS. A funcionalidade desativa recursos como a pré-visualização de ligações e a instalação de perfis de configuração, pelo que o seu uso deve ser ponderado caso a caso.
Implicações para o setor
Este caso expõe uma falha estrutural no mercado de ferramentas de cibervigilância: a ausência de mecanismos eficazes de controlo após a venda. Uma ferramenta desenvolvida por um contratante privado americano chegou a agentes de Estados adversários sem que qualquer mecanismo de contenção tenha funcionado. O debate sobre a regulação do mercado de cyberweapons (já em curso após o caso Pegasus) ganha novos contornos com a evidência do uso de inteligência artificial para baixar a barreira técnica de entrada neste tipo de operações.
Destaques deste artigo
- O spyware DarkSword para iPhone visou dispositivos com iOS 18.4 a 18.6.2, sendo capaz de extrair dados sensíveis sem deixar rastos
- O grupo UNC6353, com alegadas ligações ao governo russo, usou ataques watering hole contra alvos ucranianos, entre outros países
- O toolkit Coruna terá sido desenvolvido pela contratante de defesa americana L3Harris, segundo análise forense de código (atribuição não confirmada pela empresa)
- Até 270 milhões de utilizadores de iPhone podem estar expostos, com 15% dos dispositivos iOS ainda a correr versões vulneráveis
- Todas as falhas estão corrigidas no iOS 26.3 e versões posteriores
Perguntas frequentes (FAQ)
O meu iPhone está em risco se tiver o iOS 26.3 instalado?
Não. Todas as vulnerabilidades exploradas pelo DarkSword e pelo Coruna estão corrigidas no iOS 26.3 e versões superiores. O risco subsiste apenas em dispositivos com versões anteriores do sistema operativo.
Como sei se o meu iPhone foi comprometido?
deteção é difícil: o DarkSword apaga os seus rastos após a intrusão. Ferramentas como o iVerify Basic permitem uma análise de integridade do dispositivo. Um reinício simples pode neutralizar malware residente na memória volátil.
O Modo de Isolamento afeta o desempenho normal do iPhone?
Sim. O Modo de Isolamento desativa funcionalidades como a pré-visualização de ligações e a instalação de perfis de configuração. É recomendado apenas para utilizadores com perfil de alto risco, não para uso quotidiano generalizado.
Outros artigos interessantes:
