Laut Berichten der **Google Threat Intelligence Group** (GTIG), **iVerify** und **Lookout** wird **DarkSword** seit mindestens November 2025 in Kampagnen eingesetzt, die **Saudi-Arabien**, die **Türkei**, **Malaysia** und die **Ukraine** ins Visier nehmen. Mehrere kommerzielle Überwachungsanbieter und mutmaßliche staatlich unterstützte Akteure sind daran beteiligt. ### DarkSword vs. Coruna Das Aufkommen von **DarkSword** markiert das zweite in jüngster Zeit entdeckte iOS Exploit Kit nach **Coruna**. Im Gegensatz zu **Coruna**, das ältere iOS-Versionen ins Visier nahm, konzentriert sich **DarkSword** auf iPhones mit iOS-Versionen zwischen 18.4 und 18.7. Es wurde mit einer mutmaßlichen russischen Spionagegruppe namens UNC6353 in Verbindung gebracht, die auch für den Einsatz von **Coruna** bei Angriffen auf ukrainische Nutzer bekannt ist. ### Finanziell motivierte Bedrohung "**DarkSword** zielt darauf ab, eine umfangreiche Menge an persönlichen Informationen zu extrahieren, einschließlich Anmeldedaten vom Gerät, und zielt speziell auf eine Vielzahl von Krypto-Wallet-Apps ab, was auf einen finanziell motivierten Bedrohungsakteur hindeutet", erklärte **Lookout**. Die schnelle Datenexfiltration und der Bereinigungsprozess des Kits unterscheiden es weiter von herkömmlicher Spyware. ### Details zur Exploit-Kette Ähnlich wie **Coruna** verwendet **DarkSword** eine Exploit-Kette, um mit minimaler Benutzerinteraktion vollen Zugriff auf das Gerät eines Opfers zu erlangen. Dies unterstreicht den wachsenden Markt für Exploits, der es Bedrohungsgruppen mit begrenzten Ressourcen ermöglicht, hochentwickelte Werkzeuge zu erwerben. GTIG betont das anhaltende Risiko der Verbreitung von Exploits über verschiedene Akteure hinweg. Die **DarkSword**-Exploit-Kette nutzt sechs verschiedene Schwachstellen, darunter zum Zeitpunkt der Entdeckung drei 0-Days: * **CVE-2025-31277** - Memory Corruption-Schwachstelle in JavaScriptCore (Gepatcht in Version 18.6) * **CVE-2026-20700** - User-Mode Pointer Authentication Code (PAC) Bypass in dyld (Gepatcht in Version 26.3) * **CVE-2025-43529** - Memory Corruption-Schwachstelle in JavaScriptCore (Gepatcht in den Versionen 18.7.3 und 26.2) * **CVE-2025-14174** - Memory Corruption-Schwachstelle in ANGLE (Gepatcht in den Versionen 18.7.3 und 26.2) * **CVE-2025-43510** - Memory Management-Schwachstelle im iOS-Kernel (Gepatcht in den Versionen 18.7.2 und 26.1) * **CVE-2025-43520** - Memory Corruption-Schwachstelle im iOS-Kernel (Gepatcht in den Versionen 18.7.2 und 26.1) ### Infektionsvektor und Datenexfiltration **Lookout** entdeckte **DarkSword** durch die Analyse bösartiger Infrastrukturen, die mit UNC6353 verbunden sind. Kompromittierte Domains hosteten bösartige iFrames, die Geräte fingerprinten und Ziele auf die iOS-Exploit-Kette umleiten. Die spezifische Website-Infektionsmethode ist unbekannt.  Der JavaScript-Code zielt auf iOS-Geräte ab, auf denen Versionen zwischen 18.4 und 18.6.2 laufen. Nach dem Start umgeht **DarkSword** die WebContent-Sandbox und nutzt WebGPU, um in mediaplaybackd, einen System-Daemon für die Medienwiedergabe, zu injizieren. Dies ermöglicht es der Dataminer-Malware GHOSTBLADE, auf privilegierte Prozesse und eingeschränkte Teile des Dateisystems zuzugreifen. Anschließend lädt sie zusätzliche Komponenten zum Ernten sensibler Daten und injiziert eine Exfiltrations-Payload in Springboard, um Informationen über HTTP(S) an einen externen Server zu senden. ### Zielgerichtete Daten Der Exploit zielt auf eine umfassende Palette von Daten ab, darunter: * E-Mails * iCloud Drive-Dateien * Kontakte * SMS-Nachrichten * Safari-Browserverlauf und Cookies * Kryptowährungs-Wallet- und Börsendaten * Benutzernamen und Passwörter * Fotos * Anruflisten * Wi-Fi-Konfiguration und Passwörter * Standortverlauf * Kalenderdaten * Mobilfunk- und SIM-Informationen * Liste der installierten Apps * Daten von Apple-Apps wie Notizen und Gesundheit * Nachrichtenverläufe von Apps wie Telegram und WhatsApp  ### Technische Analyse Die Analyse von **iVerify** zeigt, dass **DarkSword** JavaScriptCore JIT-Schwachstellen (CVE-2025-31277 oder CVE-2025-43529) zur Remote Code Execution über CVE-2026-20700 ausnutzt. Anschließend entkommt es der Sandbox über den GPU-Prozess mittels CVE-2025-14174 und CVE-2025-43510. Ein Kernel-Privilegieneskalationsfehler (**CVE-2025-43520**) gewährt beliebige Lese-/Schreib- und Funktionsaufrufe innerhalb von mediaplaybackd, was die Ausführung von injiziertem JavaScript-Code ermöglicht. **Lookout** beschreibt die Malware als eine hochentwickelte, professionell gestaltete Plattform, die auf Wartbarkeit, langfristige Entwicklung und Erweiterbarkeit ausgelegt ist. ### Portierung von älteren Versionen Die Analyse der JavaScript-Dateien von **DarkSword** zeigt Verweise auf die iOS-Versionen 17.4.1 und 17.5.1, was auf eine Portierung von einer früheren Version hindeutet, die auf ältere Betriebssysteme abzielte. Im Gegensatz zu persistenten Überwachungswerkzeugen konzentriert sich **DarkSword** auf den schnellen Diebstahl von Daten, was die sich entwicklende Landschaft von iOS-Bedrohungen unterstreicht.