Спільні дослідження Lookout, iVerify та Google Threat Intelligence Group (GTIG) виявили DarkSword — один із найскладніших на сьогодні експлойт-китів для iOS. Цей набір уразливостей націлено на iPhone з версіями iOS 18.4–18.7 і він дозволяє зловмиснику перехопити повний контроль над пристроєм практично без участі користувача, переважно через браузер Safari.
Які уразливості iOS використовує DarkSword і скільки пристроїв під загрозою
За оцінками дослідників, DarkSword спирається на шість критичних уразливостей: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 та CVE-2025-43520. Усі вони вже виправлені в актуальних оновленнях iOS, однак значна частина користувачів продовжує працювати на вразливих версіях системи.
Команда iVerify оцінює, що близько 14,2% iPhone (приблизно 221,5 млн пристроїв) досі працюють на збірках iOS, де ці уразливості залишаються відкритими. Якщо припустити, що ризик зачіпає всі релізи гілки iOS 18, теоретична кількість потенційних жертв може сягати до 296 млн пристроїв у всьому світі. Масштаб атаки ставить DarkSword в один ряд із комерційними шпигунськими платформами, які використовуються у державних та цільових операціях.
DarkSword і Coruna: єдина експлойт-екосистема
Інфраструктурний аналіз показав, що DarkSword пов’язаний з раніше описаною експлойт-платформою Coruna. Частковий збіг доменів, серверів керування та ланцюгів доставки вказує на спільне походження або на одного постачальника комерційного шпигунського ПЗ.
Подібна модульна інфраструктура експлойт-китів спрощує повторне використання вже відомих уразливостей і швидку адаптацію під нові версії iOS. Це свідчить про наявність не одиничної кампанії, а зрілої екосистеми, орієнтованої на довгострокову експлуатацію мобільних пристроїв Apple.
Ланцюжок атаки: від Safari до привілеїв ядра XNU
Атака з використанням DarkSword стартує після відвідування жертвою шкідливого або скомпрометованого ресурсу в Safari. На першому етапі застосовуються уразливості в JIT-компіляторі JavaScript, які дають можливість атакувальнику виконувати довільне читання та запис у пам’ять процесу браузера.
Далі експлойт обходить вбудовані механізми захисту iOS, зокрема TPRO та PAC (Pointer Authentication Codes), після чого здійснює вихід із пісочниці через уразливість у графічному компоненті ANGLE. Завершальний крок — ескалація привілеїв до рівня ядра XNU, що фактично відкриває зловмисникам повний, системний доступ до iPhone.
JavaScript як основа експлойт-платформи
Ключова особливість DarkSword полягає в тому, що увесь експлойт-кит реалізовано на JavaScript. Центральний «оркестратор» впроваджує власне середовище виконання JS у привілейовані системні сервіси iOS — App Access, Wi‑Fi, Springboard, Keychain та iCloud. Таким чином одноразове веб-зараження перетворюється на гнучку платформу для подальших операцій із крадіжки даних.
Які дані викрадає DarkSword та пов’язані сімейства шкідливого ПЗ
DarkSword орієнтований на максимально широкий спектр конфіденційної інформації. Серед цілей: логіни та паролі, фото і медіафайли, бази даних WhatsApp і Telegram, SMS, контакти, журнали дзвінків, історія браузера, cookie-файли та дані Apple Health, а також замітки, календарі, паролі Wi‑Fi та криптовалютні гаманці (Coinbase, Binance, Ledger тощо).
Після ексфільтрації даних DarkSword видаляє тимчасові артефакти й завершує роботу. Така поведінка свідчить про орієнтацію на швидку, «ударну» крадіжку інформації, а не на довготривалу приховану присутність у системі.
Через DarkSword поширюються щонайменше три ключові сімейства шкідливого ПЗ:
GHOSTBLADE — JavaScript-інфостілер, особливо небезпечний для власників криптовалютних активів;
GHOSTKNIFE — бекстор із розширеним функціоналом для збирання та виведення даних;
GHOSTSABER — JavaScript-бекдор з можливістю віддаленого виконання коду й ексфільтрації інформації.
Ким і як уже використовується DarkSword
За даними GTIG, DarkSword активно застосовується щонайменше з листопада 2025 року. Першою зафіксованою групою стала UNC6748, яка націлювалася на користувачів у Саудівській Аравії через фальшивий сайт Snapchat.
Згодом DarkSword було виявлено у турецького постачальника комерційного шпигунського ПЗ PARS Defense, який використовував його проти жертв у Туреччині та Малайзії. З грудня 2025 року до експлуатації комплексу приєдналася група UNC6353, що проводила watering hole-атаки на українські цілі, впроваджуючи шкідливі iframe у легітимні сайти — зокрема, ресурс «Новости Донбасса» та сайт Сьомого адміністративного апеляційного суду у Вінниці.
Показово, що UNC6353 використала саме GHOSTBLADE — модуль без класичного бекдора, але з можливістю викрадення криптовалют. Це вказує не лише на розвідувальний, а й на фінансово мотивований характер частини операцій.
Ознаки використання ШІ та рівень зрілості платформи
Дослідники звертають увагу на велику кількість розгорнутих коментарів у коді DarkSword і Coruna, які детально описують логіку роботи компонентів. Такий стиль часто характерний для коду, згенерованого з використанням LLM-інструментів (Large Language Models), що може свідчити про залучення сучасних систем штучного інтелекту до розробки експлойтів.
У Lookout характеризують DarkSword як «професійно спроєктовану платформу», придатну для довгострокового супроводу й швидкого розширення за рахунок нових модулів. Для ринку комерційного шпигунського ПЗ це означає появу ще одного потужного інструменту для атак на екосистему iOS.
Як захистити iPhone від DarkSword та подібних загроз
Користувачам iPhone наполегливо рекомендується негайно оновитися до iOS 26.3.1 або 18.7.6 — саме в цих версіях закрито всі уразливості, які використовує DarkSword. Важливо також уникати переходів за посиланнями з неперевірених джерел, регулярно переглядати список встановлених профілів конфігурації та обмежувати використання сторонніх браузерів і VPN-сервісів без прозорої репутації.
Поява DarkSword демонструє, що навіть закрита та добре захищена платформа, як-от iOS, залишається привабливою ціллю для комерційних шпигунських гравців. Регулярні оновлення, базова «гігієна» цифрової поведінки, обережність щодо цільового фішингу та watering hole-атак — нині це найефективніші кроки, які може зробити як окремий користувач, так і організація, щоб знизити ризик компрометації й не стати частиною статистики сотень мільйонів потенційних жертв DarkSword.
