Ein neu entdecktes iOS-Exploit-Kit namens DarkSword zeigt, wie weit der Markt für kommerzielle Spyware inzwischen gereift ist. Forscher von Lookout, iVerify und der Google Threat Intelligence Group (GTIG) haben eine komplexe Angriffskette dokumentiert, die iPhones mit iOS 18.4 bis 18.7 mit minimaler Nutzerinteraktion vollständig kompromittieren kann – primär über den Browser Safari.
DarkSword im Überblick: Professionelles iOS-Exploit-Kit im Stil von kommerzieller Spyware
DarkSword nutzt eine Kombination mehrerer Schwachstellen, um von einem simplen Webseitenaufruf bis zur vollständigen Kontrolle über ein iPhone zu gelangen. Die Plattform reiht sich damit in die Kategorie hochwertiger kommerzieller Spyware ein, wie sie bislang vor allem durch Fälle wie Pegasus bekannt wurde. Auffällig ist die professionelle Architektur mit klarer Trennung von Exploit-Lieferung, Privilegienerweiterung und Datendiebstahl.
Ausgenutzte iOS-Sicherheitslücken und globale Reichweite der Bedrohung
Nach Angaben der Forscher stützt sich DarkSword auf sechs kritische Sicherheitslücken: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 und CVE-2025-43520. Apple hat diese Schwachstellen in aktuellen iOS-Versionen zwar geschlossen, doch ein großer Teil der Geräte ist noch nicht aktualisiert.
iVerify schätzt, dass rund 14,2 % aller iPhones – etwa 221,5 Millionen Geräte – weiterhin auf anfälligen Versionen laufen. Sollte sich bestätigen, dass alle Builds von iOS 18 betroffen sind, könnte der potenzielle Opferpool bis zu 296 Millionen iPhones umfassen. Das macht DarkSword zu einem Risiko in derselben Größenordnung wie etablierte Spyware-Plattformen, die in staatlich gesteuerten und zielgerichteten Operationen eingesetzt werden.
Verbindung zur Exploit-Plattform Coruna und modulare Infrastruktur
Infrastrukturanalysen zeigen deutliche Überschneidungen zwischen DarkSword und der bereits bekannten Exploit-Plattform Coruna. Gemeinsam genutzte Server, ähnliche Deployment-Muster und identische Artefakte legen nahe, dass beide Systeme Teil desselben Werkzeugkastens oder zumindest desselben Anbieters im Bereich kommerzieller Spyware sind.
Diese modulare Exploit-Infrastruktur erlaubt es Angreifern, Schwachstellen wiederzuverwenden, Exploits schnell auf neue iOS-Versionen anzupassen und kunden- oder kampagnenspezifische Module hinzuzufügen. Vergleichbare Modelle sind aus dem Windows- und Android-Sektor als „Exploit-as-a-Service“ bekannt und erhöhen die Skalierungsmöglichkeiten erheblich.
Technische Angriffskette: Von Safari bis in den XNU-Kernel
Einstieg über Safari und JavaScript-JIT-Exploits
Die Attacke startet, sobald ein Opfer eine präparierte oder kompromittierte Website in Safari öffnet. DarkSword missbraucht dabei Schwachstellen im Just-In-Time (JIT) Compiler der JavaScript-Engine. Vereinfacht gesagt, kann der Angreifer Speicherbereiche des Browserprozesses beliebig lesen und schreiben, was den Weg für weiteren Schadcode ebnet.
Bypass von iOS-Schutzmechanismen und Sandbox-Escape
Im nächsten Schritt umgeht DarkSword zentrale iOS-Schutztechniken wie TPRO und PAC (Pointer Authentication Codes), die eigentlich Manipulationen im Speicher erschweren sollen. Anschließend erfolgt ein Sandbox-Escape über eine Schwachstelle in ANGLE, einer Komponente zur Grafikverarbeitung. Dadurch gelingt der Sprung aus dem strikt abgeschotteten Browser-Kontext in sensiblere Systembereiche.
Kernel-Privilege-Eskalation und JavaScript-basierte Orchestrierung
Den Abschluss der Kette bildet eine Privilegienerweiterung bis in den XNU-Kernel, das Herzstück von iOS. Damit erhält der Angreifer nahezu uneingeschränkte Kontrolle über das Gerät. Besonders bemerkenswert: Der gesamte Exploit-Kit-Stack ist in JavaScript implementiert. Ein zentraler „Orchestrator“ injiziert eine eigene JavaScript-Laufzeitumgebung in privilegierte Systemdienste wie App Access, Wi‑Fi, Springboard, Keychain und iCloud. Aus einem einmaligen Web-Exploit wird so eine flexible Plattform für anschließende Datendiebstähle.
Datendiebstahl und Malware-Familien: GHOSTBLADE, GHOSTKNIFE, GHOSTSABER
Das Ziel von DarkSword ist ein möglichst umfassender Zugriff auf sensible Nutzerdaten. Abfließen können unter anderem:
– Zugangsdaten und Passwörter
– Fotos und Mediendateien
– WhatsApp- und Telegram-Datenbanken
– SMS, Kontakte, Anruflisten und Browser-Historien
– Cookies und Apple-Health-Daten
– Notizen, Kalender, WLAN-Passwörter
– Kryptowährungs-Wallets (z. B. Coinbase, Binance, Ledger)
Nach der Exfiltration löscht DarkSword temporäre Artefakte und beendet sich selbst. Das Verhalten spricht für eine Strategie der schnellen, schwer erkennbaren Datenernte, nicht für dauerhafte Überwachung.
Über DarkSword werden mindestens drei Malware-Familien verteilt: GHOSTBLADE als JavaScript-basierter Infostealer mit Fokus auch auf Krypto-Assets, GHOSTKNIFE als funktionsreicher Backdoor zur Datensammlung und GHOSTSABER als JavaScript-Backdoor mit Remote-Code-Execution- und Exfiltrationsfunktionen. Der gezielte Angriff auf Kryptowährungen spiegelt einen breiten Trend wider, der bereits im Android-Ökosystem durch Banking-Trojaner und Krypto-Stealer sichtbar ist.
Einsatz in realen Operationen: Staatliche und finanzielle Motive
GTIG beobachtet den Einsatz von DarkSword in realen Kampagnen seit mindestens November 2025. Die Gruppe UNC6748 setzte das Toolkit gegen Nutzer in Saudi-Arabien ein, unter anderem über eine gefälschte Snapchat-Website. Später tauchte DarkSword beim türkischen Spyware-Anbieter PARS Defense auf, der Ziele in der Türkei und Malaysia attackierte.
Seit Dezember 2025 nutzt außerdem die Gruppe UNC6353 DarkSword in Watering-Hole-Angriffen auf ukrainische Ziele. Hierfür wurden schädliche iframes in legitime Websites wie „Nachrichten Donbass“ und die Seite des Siebten administrativen Berufungsgerichts in Winnyzja eingeschleust. Bemerkenswert ist, dass UNC6353 ausschließlich GHOSTBLADE ohne klassischen Backdoor einsetzte – ein Hinweis auf finanziell motivierte Operationen mit Schwerpunkt Kryptodiebstahl, eingebettet in ein politisch sensibles Umfeld.
Hinweise auf KI-Einsatz und zunehmende Professionalisierung
Im Quellcode von DarkSword und Coruna fanden Forscher ausführliche Kommentare, die die Funktionsweise einzelner Komponenten ungewöhnlich detailliert erklären. Solche Muster sind typisch für mit LLM-Tools (Large Language Models) generierten Code. Der mögliche Einsatz generativer KI in der Malware-Entwicklung senkt die Einstiegshürde für Angreifer und beschleunigt die Umsetzung komplexer Angriffsketten – ein Risiko, auf das unter anderem ENISA und andere Sicherheitsorganisationen seit einiger Zeit hinweisen.
Lookout beschreibt DarkSword als „professionell designte Plattform“, die auf langfristige Pflege und schnelle Erweiterbarkeit durch neue Module ausgelegt ist. Für das Ökosystem iOS bedeutet dies, dass neben bekannten Akteuren ein weiterer hochentwickelter Player im Bereich kommerzieller Spyware aktiv ist.
Für iPhone-Nutzer ist es essenziell, sofort auf iOS 26.3.1 oder mindestens 18.7.6 zu aktualisieren, da dort alle von DarkSword ausgenutzten Schwachstellen geschlossen sind. Darüber hinaus sollten Links aus unbekannten Quellen gemieden, installierte Konfigurationsprofile regelmäßig überprüft und Browser sowie VPN-Dienste nur von vertrauenswürdigen Anbietern genutzt werden. Unternehmen sollten Mobile-Device-Management (MDM), Threat-Intelligence-Feeds und ein belastbares Incident-Response-Konzept etablieren. Wer mobile Sicherheit als gleichwertigen Bestandteil der IT-Sicherheitsstrategie begreift und seine Systeme konsequent aktuell hält, kann das Risiko auch gegenüber so fortgeschrittenen Angriffswerkzeugen wie DarkSword deutlich reduzieren.
