Группа UNC6353, связанная с российским правительством, запустила кампанию, нацеленную на владельцев iPhone в Украине. По данным Google, iVerify и Lookout, злоумышленники использовали недавно обнаруженный набор шпионского ПО Darksword, который активируется на устройстве, собирает данные за несколько минут и сразу исчезает.
Что представляет Darksword
Инструмент крадёт пароли, фотографии, сообщения из WhatsApp, Telegram, историю браузера и доступ к криптовалютным кошелькам. Со‑основатель iVerify Рокки Коула описал цель как «smash‑and‑grab»: собрать сведения о действиях жертвы без длительного наблюдения.
Почему это важно
- Двухэтапный характер: сбор данных сочетается с потенциальным финансовым вектором, указывая на сочетание разведывательных и криминальных мотивов.
- Технологическая сложность: модульный дизайн Darksword требует профессиональной разработки и позволяет быстро адаптировать код к новым задачам.
- Связи с предыдущими инструментами, такими как Coruna, показывают постоянную поставку аналогичного ПО российским клиентам.
Google, iVerify и Lookout сообщают, что группа работает как прокси‑структура, обслуживая интересы российской разведки и одновременно стремясь к финансовой выгоде, что усложняет оценку угрозы.