Selon des rapports du **Google Threat Intelligence Group** (GTIG), d'**iVerify** et de **Lookout**, **DarkSword** a été utilisé dans des campagnes ciblant l'**Arabie Saoudite**, la **Turquie**, la **Malaisie** et l'**Ukraine** depuis au moins novembre 2025. Plusieurs fournisseurs de surveillance commerciaux et des acteurs suspectés d'être parrainés par des États seraient impliqués. ### DarkSword vs Coruna L'émergence de **DarkSword** marque le deuxième kit d'exploit iOS découvert récemment, après **Coruna**. Contrairement à **Coruna**, qui ciblait les anciennes versions d'iOS, **DarkSword** se concentre sur les iPhones exécutant des versions d'iOS comprises entre 18.4 et 18.7. Il a été lié à un groupe d'espionnage russe présumé nommé UNC6353, également associé à l'utilisation de **Coruna** dans des attaques contre des utilisateurs ukrainiens. ### Acteur malveillant motivé par le gain financier "**DarkSword** vise à extraire un vaste ensemble d'informations personnelles, y compris les identifiants de l'appareil, et cible spécifiquement une pléthore d'applications de portefeuilles de cryptomonnaies, suggérant un acteur malveillant motivé par le gain financier", a déclaré **Lookout**. L'exfiltration rapide des données et le processus de nettoyage du kit le distinguent davantage des logiciels espions traditionnels. ### Détails de la chaîne d'exploit À l'instar de **Coruna**, **DarkSword** utilise une chaîne d'exploit pour obtenir un accès complet à l'appareil d'une victime avec une interaction utilisateur minimale. Cela met en évidence le marché croissant des exploits, permettant aux groupes de menaces disposant de ressources limitées d'acquérir des outils sophistiqués. GTIG souligne le risque continu de prolifération des exploits parmi divers acteurs. La chaîne d'exploit **DarkSword** utilise six vulnérabilités différentes, dont trois zero-days au moment de la découverte : * **CVE-2025-31277** - Vulnérabilité de corruption de mémoire dans JavaScriptCore (corrigée dans la version 18.6) * **CVE-2026-20700** - Contournement du code d'authentification de pointeur en mode utilisateur (PAC) dans dyld (corrigé dans la version 26.3) * **CVE-2025-43529** - Vulnérabilité de corruption de mémoire dans JavaScriptCore (corrigée dans les versions 18.7.3 et 26.2) * **CVE-2025-14174** - Vulnérabilité de corruption de mémoire dans ANGLE (corrigée dans les versions 18.7.3 et 26.2) * **CVE-2025-43510** - Vulnérabilité de gestion de mémoire dans le noyau iOS (corrigée dans les versions 18.7.2 et 26.1) * **CVE-2025-43520** - Vulnérabilité de corruption de mémoire dans le noyau iOS (corrigée dans les versions 18.7.2 et 26.1) ### Vecteur d'infection et exfiltration de données **Lookout** a découvert **DarkSword** grâce à l'analyse d'une infrastructure malveillante liée à UNC6353. Des domaines compromis hébergeaient des iFrames malveillants qui identifiaient les appareils et redirigeaient les cibles vers la chaîne d'exploit iOS. La méthode spécifique d'infection par site web reste inconnue.  Le code JavaScript cible les appareils iOS exécutant des versions comprises entre 18.4 et 18.6.2. Une fois lancé, **DarkSword** contourne le sandbox WebContent et utilise WebGPU pour s'injecter dans mediaplaybackd, un démon système pour la lecture multimédia. Cela permet au malware dataminer, GHOSTBLADE, d'accéder aux processus privilégiés et aux parties restreintes du système de fichiers. Il charge ensuite des composants supplémentaires pour récolter des données sensibles et injecte un payload d'exfiltration dans Springboard pour siphonner les informations vers un serveur externe via HTTP(S). ### Données ciblées L'exploit cible une gamme complète de données, notamment : * E-mails * Fichiers iCloud Drive * Contacts * Messages SMS * Historique de navigation et cookies Safari * Données de portefeuilles et d'échanges de cryptomonnaies * Noms d'utilisateur et mots de passe * Photos * Historique des appels * Configuration et mots de passe Wi-Fi * Historique de localisation * Données du calendrier * Informations cellulaires et SIM * Liste des applications installées * Données d'applications Apple comme Notes et Health * Historiques de messages d'applications comme Telegram et WhatsApp  ### Analyse technique L'analyse d'**iVerify** indique que **DarkSword** exploite des vulnérabilités JIT de JavaScriptCore (CVE-2025-31277 ou CVE-2025-43529) pour une RCE via CVE-2026-20700. Il s'échappe ensuite du sandbox via le processus GPU en utilisant CVE-2025-14174 et CVE-2025-43510. Une faille d'escalade de privilèges du noyau (**CVE-2025-43520**) accorde des capacités de lecture/écriture arbitraires et d'appel de fonction à l'intérieur de mediaplaybackd, permettant l'exécution de code JavaScript injecté. **Lookout** décrit le malware comme une plateforme sophistiquée et conçue professionnellement, pensée pour la maintenabilité, le développement à long terme et l'extensibilité. ### Porté à partir de versions antérieures L'analyse des fichiers JavaScript de **DarkSword** révèle des références aux versions iOS 17.4.1 et 17.5.1, suggérant un portage à partir d'une version antérieure ciblant des systèmes d'exploitation plus anciens. Contrairement aux outils de surveillance persistants, **DarkSword** se concentre sur le vol rapide de données, soulignant le paysage évolutif des menaces iOS.