Команды Lookout и Google Threat Intelligence Group (GTIG) обнаружили DarkSword — новый набор эксплойтов для iPhone. Одна из главных целей эксплойт-кита: добраться до личных данных пользователя так, чтобы система безопасности не заметила работу вредоноса. Исследователи отмечают, что уязвимости уже используют несколько хакерских группировок и поставщиков шпионского ПО, которые работают в интересах правительственных организаций.

DarkSword нацелен на устройства под управлением iOS 18.4-18.7 и использует сразу шесть уязвимостей: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 и CVE-2025-43520. В последних версиях iOS уязвимости исправили, но исследователи отмечают, что около 14,2% iPhone всё ещё работают под управлением целевых версий iOS, что составляет ~221 млн смартфонов.

DarkSword начинает атаку в Safari, после того как пользователь переходит на заражённый сайт. Система с помощью JIT-уязвимостей получает доступ к произвольному чтению/записи файлов, выходит за пределы песочницы, получает доступ к ядру ОС и повышает привилегии. После успешной атаки в привилегированных iOS-сервисах (App Access, Wi-Fi, Springboard, Keychain и iCloud) появляется JS-среда для сбора данных.

Эксплойт-кит похищает довольно много личных данных, включая пароли, заметки, фотографии, SMS, историю звонков, список контактов, базы Telegram и WhatsApp, историю браузера, cookie, записи в календаре, данные о здоровье и активности из Apple Health, пароли Wi-Fi, записи о местоположении и криптовалютные кошельки Coinbase, Binance и Ledger. После получения всех данных DarkSword удаляет из системы все подозрительные файлы и завершает работу.

Исследователи отмечают, что набор уязвимостей DarkSword используют с ноября 2025 года. В первый раз его применила хакерская группировка UNC6748. Целью атаки были пользователи из Саудовской Аравии, а жертв искали через фишинговый сайт социальной сети Snapchat. Позже уязвимости использовала группировка UNC6353 и турецкий поставщик коммерческого шпионского ПО PARS Defense. Специалисты Google Threat Intelligence Group считают, что могли пропустить другие случаи использования DarkSword.

Пользователям рекомендуют обновиться как минимум до iOS 18.7.6 — это версия, в которой Apple закрыла уязвимости. Лучшим решением будет обновиться до последней актуальной iOS 26.3.1.