**Google Threat Intelligence Group**（GTIG）、**iVerify**、**Lookout**の報告によると、**DarkSword**は少なくとも2025年11月以降、**サウジアラビア**、**トルコ**、**マレーシア**、**ウクライナ**を標的としたキャンペーンで利用されています。複数の商用監視ベンダーや、国家支援型攻撃者が関与しているとみられています。 ### DarkSword vs. Coruna **DarkSword**の出現は、最近発見された2番目のiOSエクスプロイトキットであり、**Coruna**に続くものです。古いiOSバージョンを標的としていた**Coruna**とは異なり、**DarkSword**はiOSバージョン18.4から18.7を実行しているiPhoneを標的としています。これは、ウクライナのユーザーに対する**Coruna**の使用とも関連がある、とされるロシアのスパイ活動グループUNC6353に関連付けられています。 ### 経済的動機を持つ脅威 「**DarkSword**は、デバイスからの認証情報を含む広範な個人情報の抽出を目指しており、特に多数の仮想通貨ウォレットアプリを標的としていることから、経済的動機を持つ攻撃者を示唆しています」と**Lookout**は述べています。キットの迅速なデータ流出とクリーンアッププロセスは、従来の spyware とは一線を画しています。 ### エクスプロイトチェーンの詳細 **Coruna**と同様に、**DarkSword**はエクスプロイトチェーンを使用して、最小限のユーザー操作で被害者のデバイスへの完全なアクセスを取得します。これは、リソースが限られた攻撃グループが高度なツールを入手できるエクスプロイト市場の成長を浮き彫りにしています。GTIGは、多様な攻撃者間でのエクスプロイトの拡散のリスクが継続していることを強調しています。 **DarkSword**のエクスプロイトチェーンは、発見時点で3つのゼロデイを含む6つの異なる脆弱性を利用しています。 * **CVE-2025-31277** - JavaScriptCoreにおけるメモリ破損の脆弱性（バージョン18.6で修正済み） * **CVE-2026-20700** - dyldにおけるユーザーモードポインタ認証コード（PAC）バイパス（バージョン26.3で修正済み） * **CVE-2025-43529** - JavaScriptCoreにおけるメモリ破損の脆弱性（バージョン18.7.3および26.2で修正済み） * **CVE-2025-14174** - ANGLEにおけるメモリ破損の脆弱性（バージョン18.7.3および26.2で修正済み） * **CVE-2025-43510** - iOSカーネルにおけるメモリ管理の脆弱性（バージョン18.7.2および26.1で修正済み） * **CVE-2025-43520** - iOSカーネルにおけるメモリ破損の脆弱性（バージョン18.7.2および26.1で修正済み） ### 感染経路とデータ流出 **Lookout**は、UNC6353に関連する悪意のあるインフラストラクチャの分析を通じて**DarkSword**を発見しました。侵害されたドメインは、デバイスをフィンガープリントし、標的をiOSエクスプロイトチェーンにリダイレクトする悪意のあるiFrameをホストしていました。具体的なウェブサイト感染方法は不明です。  JavaScriptコードは、バージョン18.4から18.6.2のiOSデバイスを標的としています。起動すると、**DarkSword**はWebContent sandbox をバイパスし、WebGPU を利用してメディア再生用のシステムデーモンである mediaplaybackd にインジェクトします。 これにより、dataminer malware である GHOSTBLADE が特権プロセスやファイルシステムへのアクセス制限を解除できるようになります。その後、追加コンポーネントをロードして機密データを収集し、Springboard に exfiltration payload をインジェクトして HTTP(S) 経由で外部サーバーに情報を送信します。 ### 標的となるデータ このエクスプロイトは、以下の広範なデータを標的とします。 * Eメール * iCloud Drive ファイル * 連絡先 * SMSメッセージ * Safari の閲覧履歴と Cookie * 仮想通貨ウォレットおよび取引所のデータ * ユーザー名とパスワード * 写真 * 通話履歴 * Wi-Fi 設定とパスワード * 位置情報履歴 * カレンダーデータ * セルラーおよび SIM 情報 * インストール済みアプリリスト * Notes や Health などの Apple アプリのデータ * Telegram や WhatsApp などのアプリのメッセージ履歴  ### 技術分析 **iVerify**の分析によると、**DarkSword**はJavaScriptCore JIT脆弱性（CVE-2025-31277またはCVE-2025-43529）を悪用し、CVE-2026-20700を介してリモートコード実行を行います。その後、GPUプロセスを介してサンドボックスからの脱出を試み、CVE-2025-14174およびCVE-2025-43510を利用します。 カーネル権限昇格の脆弱性（**CVE-2025-43520**）により、mediaplaybackd 内での任意の読み取り/書き込みおよび関数呼び出しが可能になり、インジェクトされたJavaScriptコードの実行が可能になります。 **Lookout**は、このmalware を、保守性、長期的な開発、拡張性を考慮した、洗練されたプロフェッショナルな設計のプラットフォームであると説明しています。 ### 古いバージョンからの移植 **DarkSword**のJavaScriptファイルの分析により、iOSバージョン17.4.1および17.5.1への参照が明らかになり、古いオペレーティングシステムを標的とした以前のバージョンからの移植が示唆されています。永続的な監視ツールとは異なり、**DarkSword**は迅速なデータ窃盗に焦点を当てており、iOS脅威の進化する状況を浮き彫りにしています。