De acordo com relatórios do **Google Threat Intelligence Group** (GTIG), **iVerify** e **Lookout**, o **DarkSword** tem sido utilizado em campanhas visando a **Arábia Saudita**, **Turquia**, **Malásia** e **Ucrânia** desde pelo menos novembro de 2025. Acredita-se que múltiplos fornecedores comerciais de vigilância e suspeitos de serem atores patrocinados por estados estejam envolvidos. ### DarkSword vs. Coruna A emergência do **DarkSword** marca o segundo kit de exploração para iOS descoberto recentemente, após o **Coruna**. Diferente do **Coruna**, que visava versões mais antigas do iOS, o **DarkSword** foca em iPhones rodando versões do iOS entre 18.4 e 18.7. Ele foi associado a um grupo de espionagem russo suspeito chamado UNC6353, que também está ligado ao uso do **Coruna** em ataques contra usuários ucranianos. ### Ameaça com Motivação Financeira "O **DarkSword** visa extrair um extenso conjunto de informações pessoais, incluindo credenciais do dispositivo e mira especificamente uma miríade de aplicativos de carteira de criptomoedas, sugerindo um ator de ameaça com motivação financeira", afirmou o **Lookout**. A rápida exfiltração de dados e o processo de limpeza do kit o distinguem ainda mais de spyware tradicionais. ### Detalhes da Cadeia de Exploração Assim como o **Coruna**, o **DarkSword** emprega uma cadeia de exploração para obter acesso completo ao dispositivo de uma vítima com mínima interação do usuário. Isso destaca o crescente mercado de exploits, permitindo que grupos de ameaças com recursos limitados adquiram ferramentas sofisticadas. O GTIG enfatiza o risco contínuo de proliferação de exploits entre diversos atores. A cadeia de exploração do **DarkSword** utiliza seis vulnerabilidades diferentes, incluindo três zero-days no momento da descoberta: * **CVE-2025-31277** - Vulnerabilidade de corrupção de memória no JavaScriptCore (Corrigida na versão 18.6) * **CVE-2026-20700** - Bypass do User-mode Pointer Authentication Code (PAC) no dyld (Corrigida na versão 26.3) * **CVE-2025-43529** - Vulnerabilidade de corrupção de memória no JavaScriptCore (Corrigida nas versões 18.7.3 e 26.2) * **CVE-2025-14174** - Vulnerabilidade de corrupção de memória no ANGLE (Corrigida nas versões 18.7.3 e 26.2) * **CVE-2025-43510** - Vulnerabilidade de gerenciamento de memória no kernel do iOS (Corrigida nas versões 18.7.2 e 26.1) * **CVE-2025-43520** - Vulnerabilidade de corrupção de memória no kernel do iOS (Corrigida nas versões 18.7.2 e 26.1) ### Vetor de Infecção e Exfiltração de Dados O **Lookout** descobriu o **DarkSword** através da análise de infraestrutura maliciosa ligada ao UNC6353. Domínios comprometidos hospedavam iFrames maliciosos que realizavam fingerprinting de dispositivos e redirecionavam alvos para a cadeia de exploração do iOS. O método específico de infecção do site permanece desconhecido.  O código JavaScript visa dispositivos iOS rodando versões entre 18.4 e 18.6.2. Uma vez iniciado, o **DarkSword** contorna o sandbox do WebContent e utiliza o WebGPU para injetar no mediaplaybackd, um daemon do sistema para reprodução de mídia. Isso permite que o malware dataminer, GHOSTBLADE, acesse processos privilegiados e partes restritas do sistema de arquivos. Em seguida, ele carrega componentes adicionais para coletar dados sensíveis e injeta um payload de exfiltração no Springboard para enviar informações para um servidor externo via HTTP(S). ### Dados Alvo O exploit visa uma gama abrangente de dados, incluindo: * E-mails * Arquivos do iCloud Drive * Contatos * Mensagens SMS * Histórico de navegação e cookies do Safari * Dados de carteiras e exchanges de criptomoedas * Nomes de usuário e senhas * Fotos * Histórico de chamadas * Configuração e senhas de Wi-Fi * Histórico de localização * Dados do calendário * Informações de celular e SIM * Lista de aplicativos instalados * Dados de aplicativos da Apple como Notas e Saúde * Históricos de mensagens de aplicativos como Telegram e WhatsApp  ### Análise Técnica A análise do **iVerify** indica que o **DarkSword** explora vulnerabilidades do JIT do JavaScriptCore (CVE-2025-31277 ou CVE-2025-43529) para execução remota de código via CVE-2026-20700. Em seguida, ele escapa do sandbox através do processo da GPU usando CVE-2025-14174 e CVE-2025-43510. Uma falha de escalonamento de privilégios no kernel (**CVE-2025-43520**) concede capacidades de leitura/escrita arbitrárias e chamadas de função dentro do mediaplaybackd, permitindo a execução de código JavaScript injetado. O **Lookout** descreve o malware como uma plataforma sofisticada e profissionalmente projetada, com foco em manutenibilidade, desenvolvimento de longo prazo e extensibilidade. ### Portado de Versões Mais Antigas A análise dos arquivos JavaScript do **DarkSword** revela referências a versões do iOS 17.4.1 e 17.5.1, sugerindo um port de uma versão anterior que visava sistemas operacionais mais antigos. Diferente de ferramentas de vigilância persistentes, o **DarkSword** foca no roubo rápido de dados, destacando o cenário em evolução das ameaças ao iOS.