Le **Google Threat Intelligence Group (GTIG)** a découvert **DarkSword**, une chaîne d'exploit complète ciblant les appareils iOS. Le GTIG estime que **DarkSword** a probablement été conçu pour un usage gouvernemental, compte tenu de sa sophistication. > Le Google Threat Intelligence Group (GTIG) a identifié une nouvelle chaîne d'exploit complète pour iOS qui a exploité plusieurs vulnérabilités zero-day pour compromettre entièrement les appareils. Sur la base des marques d'outils dans les payloads récupérés, nous pensons que la chaîne d'exploit s'appelle DarkSword. Depuis au moins novembre 2025, le GTIG a observé plusieurs fournisseurs de surveillance commerciaux et des acteurs suspectés d'être parrainés par des États utiliser DarkSword dans des campagnes distinctes. Ces acteurs de la menace ont déployé la chaîne d'exploit contre des cibles en Arabie Saoudite, en Turquie, en Malaisie et en Ukraine. **DarkSword** prend en charge les versions d'iOS 18.4 à 18.7 et exploite six vulnérabilités différentes pour déployer des payloads de dernier stade. Le GTIG a identifié trois familles de malware distinctes déployées après compromission : **GHOSTBLADE**, **GHOSTKNIFE** et **GHOSTSABER**. La distribution de cette chaîne d'exploit à travers divers acteurs de la menace reflète le kit d'exploit **Coruna iOS** découvert précédemment. Notamment, **UNC6353**, un groupe d'espionnage russe suspecté ayant des liens antérieurs avec **Coruna**, a récemment intégré **DarkSword** dans ses attaques par watering hole. ## Fuite et élargissement de la menace Malheureusement, une version de **DarkSword** a fuité en ligne une semaine après sa découverte initiale. Cette fuite augmente considérablement le potentiel d'exploitation à plus grande échelle. ## Atténuation Bien que la découverte initiale remonte à un mois, s'assurer que vos appareils sont à jour avec les derniers correctifs de sécurité reste la meilleure défense contre **DarkSword** et les menaces similaires.