російські хакери атакують iPhone українців за допомогою «швидкого» шпигунського ПЗ Darksword
- Група UNC6353, пов’язана з рф, атакує користувачів iPhone в Україні через зламані локальні сайти.
- Використовується інструментарій Darksword — еволюція ПЗ Coruna, розробленого оборонним підрядником США L3Harris.
- Шпигунська програма працює за принципом «smash-and-grab»: викрадає особисті дані та крипту за лічені хвилини й видаляється.
- Цілями є паролі, фото, листування в Telegram/WhatsApp та історія браузера.
- Дослідники вважають групу «кримінальним проксі» російської розвідки через поєднання шпигунства та крадіжки криптовалюти.
Кібердослідники з Google, iVerify та Lookout виявили масштабну кампанію зі зламу iPhone, спрямовану виключно на користувачів всередині України. За атаками стоїть угруповання UNC6353, яке, на думку експертів, діє в інтересах російського уряду або є його кримінальним проксі, що поєднує шпигунство з фінансовою наживою.
Хакери використовують новий набір інструментів під назвою Darksword, що є вдосконаленим продовженням шпигунського ПЗ Coruna, про яке стало відомо на початку березня 2026 року. Про це пише TechCrunch.
Darksword відрізняється особливою прихованістю та професійною модульною структурою. На відміну від класичного ПЗ для тривалого стеження, цей інструмент працює за принципом швидкого нальоту.
Програма інфікує пристрій і протягом лічених хвилин викрадає паролі, фотографії, повідомлення у WhatsApp і Telegram, історію браузера та дані криптовалютних гаманців, після чого миттєво зникає. Така тактика дозволяє зловмисникам отримати вичерпну інформацію про життя жертви, залишаючись непоміченими для стандартних засобів захисту.
Походження цих технологій має скандальний підтекст, оскільки базовий інструментарій Coruna спочатку був розроблений американським оборонним підрядником L3Harris для спецслужб альянсу «П’ять очей». Проте згодом ці потужні засоби потрапили до рук російських шпигунів.
Для розповсюдження Darksword хакери зламували українські вебсайти, заражаючи пристрої будь-якого відвідувача, якщо він заходив на ресурс з української IP-адреси. Це свідчить про те, що кампанія не була вибірковою, а мала на меті масовий збір даних громадян України.
