Исследователи из Lookout, iVerify и Google Threat Intelligence Group (GTIG) выявили новый комплексный эксплойт-кит для iOS под названием DarkSword. Набор уязвимостей ориентирован на iPhone с iOS 18.4–18.7 и обеспечивает злоумышленникам полный контроль над устройством при минимальном участии пользователя, в первую очередь через браузер Safari.
Какие уязвимости iOS использует DarkSword и сколько устройств под угрозой
По данным экспертов, DarkSword опирается на шесть критических уязвимостей: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 и CVE-2025-43520. Все они уже закрыты в актуальных версиях iOS, однако значительная доля пользователей продолжает работать на уязвимых сборках.
Аналитики iVerify оценивают, что около 14,2% iPhone (примерно 221,5 млн устройств) остаются на версиях iOS с указанными уязвимостями. Если допустить, что проблема затрагивает все сборки iOS 18, потенциальный пул жертв может достигать до 296 млн устройств по всему миру. Такой масштаб делает DarkSword сопоставимым по риску с широко известными коммерческими шпионскими платформами, применяемыми в государственных и целевых операциях.
Связь DarkSword с платформой Coruna и роль эксплойт-инфраструктуры
Исследователи связывают DarkSword с ранее описанной эксплойт-платформой Coruna. Инфраструктура управления и доставки эксплойтов у двух решений частично совпадает, что позволяет предположить их принадлежность к одному арсеналу или одному поставщику коммерческого шпионского ПО.
Подобная модульная инфраструктура эксплойт-китов облегчает повторное использование уязвимостей и быструю адаптацию под новые версии iOS. Это подтверждает, что мы имеем дело не с разовой атакой, а с профессионально выстроенной экосистемой эксплуатации мобильных устройств.
Цепочка атаки: от Safari до привилегий ядра XNU
Атака с использованием DarkSword стартует при посещении вредоносного или скомпрометированного сайта в Safari. На первом этапе задействуются уязвимости JIT (Just-In-Time компилятора JavaScript), которые позволяют злоумышленнику добиться произвольного чтения и записи в память процесса браузера.
После закрепления в памяти эксплойт выполняет обход защитных технологий iOS, включая TPRO и PAC (Pointer Authentication Codes), затем осуществляет выход из песочницы через уязвимость в компоненте ANGLE, используемом для работы с графикой. Финальный этап — эскалация привилегий до уровня ядра XNU, что дает злоумышленнику практически неограниченный контроль над устройством.
Особенность DarkSword в том, что весь эксплойт-кит реализован на JavaScript. Главный «оркестратор» внедряет собственную JS-среду выполнения в привилегированные системные сервисы iOS — App Access, Wi‑Fi, Springboard, Keychain и iCloud. Это превращает одноразовый веб-эксплойт в полноценную платформу для последующей кражи данных.
Какие данные крадет DarkSword и какие семейства малвари используются
Набор злоумышленников ориентирован на максимально широкий спектр конфиденциальных данных. Среди похищаемой информации:
— учетные данные и пароли;
— фотографии и медиаконтент;
— базы данных мессенджеров WhatsApp и Telegram;
— SMS, контакты, журналы вызовов и истории браузера;
— файлы cookie и данные Apple Health;
— заметки, календари и пароли Wi‑Fi;
— криптовалютные кошельки (Coinbase, Binance, Ledger и др.).
После эксфильтрации DarkSword удаляет временные артефакты и завершает работу, что указывает на его ориентацию на быструю и скрытую кражу данных, а не на длительную персистентную слежку.
Через DarkSword распространяются по крайней мере три семейства вредоносного ПО:
GHOSTBLADE — JavaScript-инфостилер, нацеленный, в том числе, на криптовалютные активы;
GHOSTKNIFE — бэкдор с расширенным набором функций для кражи данных;
GHOSTSABER — JavaScript-бэкдор с возможностью эксфильтрации информации и удаленного выполнения кода.
Кто уже использует DarkSword и какие сценарии атак зафиксированы
По информации GTIG, DarkSword применяется в реальных атаках как минимум с ноября 2025 года. Первой зафиксированной группой стала UNC6748, нацеливавшаяся на пользователей в Саудовской Аравии через поддельный сайт Snapchat.
Позже DarkSword был замечен у турецкого коммерческого вендора шпионского ПО PARS Defense, использовавшего его против жертв в Турции и Малайзии. С декабря 2025 года к эксплуатации комплекса присоединилась группировка UNC6353, которая проводила watering hole-атаки на украинские цели, внедряя вредоносные iframe в легитимные сайты, включая ресурс «Новости Донбасса» и сайт Седьмого административного апелляционного суда в Виннице.
Примечательно, что UNC6353 применила именно GHOSTBLADE — модуль без классического бэкдора, но с возможностями кражи криптовалюты. Это указывает не только на разведывательную, но и на финансово мотивированную природу части операций.
Признаки применения ИИ при разработке и уровень зрелости платформы
Специалисты отмечают, что в коде DarkSword и Coruna присутствуют развёрнутые комментарии, детально описывающие механизм работы компонентов. Это косвенно указывает на использование
В Lookout характеризуют DarkSword как «профессионально спроектированную платформу», рассчитанную на долгосрочное сопровождение и быстрое расширение функциональности за счет новых модулей. Для рынка коммерческого шпионского ПО это означает появление еще одного мощного инструмента атаки на экосистему iOS.
Пользователям iPhone настоятельно рекомендуется немедленно обновиться до iOS 26.3.1 или 18.7.6 — это версии, в которых закрыты все уязвимости, задействованные DarkSword. Дополнительно имеет смысл избегать переходов по ссылкам из непроверенных источников, регулярно проверять список установленных профилей конфигурации и минимизировать использование сторонних браузеров и VPN без понятной репутации. Комплексное обновление, гигиена цифрового поведения и повышенное внимание к целевым фишинговым кампаниям остаются наиболее надежным способом снизить риск компрометации даже на фоне появления столь продвинутых эксплойт-платформ.
