DarkSword: nowy zestaw exploitów na iOS umożliwia pełne przejęcie iPhone’a

Wprowadzenie do problemu / definicja

DarkSword to zaawansowany zestaw exploitów wymierzony w urządzenia z systemem iOS, którego celem jest pełna kompromitacja iPhone’a po odwiedzeniu spreparowanej strony internetowej w Safari. Łańcuch ataku łączy kilka podatności w jeden spójny mechanizm, prowadząc od zdalnego wykonania kodu do eskalacji uprawnień, obejścia sandboxa i kradzieży danych.

To szczególnie niebezpieczny przykład nowoczesnego zagrożenia mobilnego, ponieważ wykorzystuje zarówno luki zero-day, jak i wcześniej znane błędy, a przy tym działa w modelu minimalnej interakcji użytkownika. W praktyce oznacza to, iż samo wejście na zainfekowaną lub przejętą stronę może wystarczyć do uruchomienia całego łańcucha kompromitacji.

W skrócie

DarkSword to webowy exploit kit atakujący wybrane wersje iOS poprzez kampanie typu watering hole. W analizowanych przypadkach wykorzystywał sześć podatności, z których trzy miały charakter zero-day w momencie aktywnego użycia.

• Atak rozpoczynał się w przeglądarce Safari po wejściu na spreparowaną stronę.
• Łańcuch prowadził do wykonania kodu, ucieczki z sandboxa i eskalacji uprawnień.
• Po przejęciu urządzenia wdrażane były moduły kradnące dane.
• Malware działał w modelu szybkiej eksfiltracji, a następnie usuwał ślady aktywności.
• Celem były m.in. wiadomości, hasła, dane aplikacji, pliki i informacje z portfeli kryptowalutowych.

Kontekst / historia

Ujawnienie DarkSword wpisuje się w rosnący trend profesjonalizacji ataków na platformy mobilne Apple. Zestaw został opisany jako kolejny publicznie nagłośniony exploit kit dla iOS, co pokazuje, iż gotowe łańcuchy ataku przestają być domeną wyłącznie najbardziej zaawansowanych podmiotów państwowych.

Z dostępnych ustaleń wynika, iż DarkSword był wykorzystywany co najmniej od listopada 2025 roku przez wielu aktorów zagrożeń, w tym podmioty powiązane z cyberwywiadem oraz operatorów komercyjnego nadzoru. Kampanie miały obejmować m.in. użytkowników z Ukrainy, Arabii Saudyjskiej, Turcji i Malezji, a część aktywności wiązano z grupami UNC6353 i UNC6748.

Znaczenie tej sprawy wykracza poza pojedynczą kampanię. Coraz więcej wskazuje na rozwój wtórnego rynku zaawansowanych exploitów mobilnych, z którego korzystają różne grupy o motywacjach wywiadowczych, operacyjnych i finansowych. Dla obrońców oznacza to wzrost skali zagrożenia oraz większe prawdopodobieństwo powielania podobnych technik przez kolejnych operatorów.

Analiza techniczna

Łańcuch DarkSword opierał się na sześciu podatnościach obejmujących komponenty użytkowe i jądro systemu. Wśród nich znalazły się błędy w JavaScriptCore, ANGLE, dyld oraz jądrze iOS, co pozwalało przejść od wykonania kodu w kontekście przeglądarki do uzyskania uprzywilejowanego dostępu do urządzenia.

• CVE-2025-31277 – uszkodzenie pamięci w JavaScriptCore
• CVE-2026-20700 – obejście mechanizmu Pointer Authentication Code w dyld
• CVE-2025-43529 – uszkodzenie pamięci w JavaScriptCore
• CVE-2025-14174 – uszkodzenie pamięci w ANGLE
• CVE-2025-43510 – problem zarządzania pamięcią w jądrze iOS
• CVE-2025-43520 – uszkodzenie pamięci w jądrze iOS

Według analiz co najmniej trzy z tych luk były wykorzystywane jako zero-day przed publikacją poprawek. Apple usuwało je w kolejnych wydaniach systemu, w tym w iOS 18.6, 18.7.2, 18.7.3 oraz nowszych wersjach gałęzi 26.x.

Infekcja rozpoczynała się od złośliwego iFrame osadzonego na przejętej stronie internetowej. Skrypt JavaScript wykonywał fingerprinting urządzenia, sprawdzał wersję iOS i dopiero po dopasowaniu ofiary do odpowiedniego profilu uruchamiał adekwatny łańcuch exploitów. Część wariantów była ukierunkowana na urządzenia z iOS od 18.4 do 18.6.2, podczas gdy inne obejmowały także iOS 18.7.

Następnie exploit wykorzystywał luki w Safari i JavaScriptCore do uzyskania zdalnego wykonania kodu w procesie renderera. Kolejne etapy obejmowały wykorzystanie błędów związanych z GPU oraz komponentem mediaplaybackd w celu opuszczenia sandboxa WebContent, a potem eskalację uprawnień w jądrze. Taka sekwencja dawała możliwość arbitralnego odczytu i zapisu pamięci oraz wykonywania operacji w uprzywilejowanym kontekście systemowym.

Po skutecznej kompromitacji uruchamiane były moduły kradnące dane, identyfikowane jako GHOSTBLADE, a w innych kampaniach również GHOSTKNIFE i GHOSTSABER. Co interesujące, moduły te miały być napisane w JavaScript, co sugeruje nacisk na szybkie rozwijanie funkcji i łatwe dostosowywanie malware do nowych kampanii.

• wiadomości e-mail i pliki z iCloud Drive,
• kontakty, SMS-y i historię połączeń,
• historię przeglądania oraz cookies z Safari,
• dane z komunikatorów, w tym Telegram i WhatsApp,
• listę aplikacji i informacje o urządzeniu,
• dane kalendarza, lokalizacji i konfiguracji Wi-Fi,
• nazwy użytkowników i hasła,
• dane z portfeli kryptowalutowych i aplikacji giełdowych,
• zdjęcia oraz wybrane dane z aplikacji Apple, takich jak Notes i Health.

Ważną cechą DarkSword była strategia „hit-and-run”. Zamiast utrzymywać trwałą obecność na urządzeniu, malware gwałtownie pobierał najbardziej wartościowe dane, przesyłał je do zewnętrznej infrastruktury przez HTTP(S), a następnie usuwał artefakty tymczasowe i kończył działanie. Taki model znacząco utrudnia analizę powłamaniową i skraca okno detekcji.

Konsekwencje / ryzyko

Skutki wykorzystania DarkSword mogą być bardzo poważne zarówno dla użytkowników indywidualnych, jak i organizacji. Atak wymaga niewielkiej interakcji, bazuje na pozornie legalnych stronach internetowych i prowadzi do uzyskania szerokiego dostępu do prywatnych oraz biznesowych danych zapisanych na urządzeniu.

Dla użytkowników prywatnych oznacza to ryzyko przejęcia kont, wycieku korespondencji, utraty danych osobowych, kradzieży tożsamości i potencjalnych strat finansowych. Szczególnie wysokie ryzyko dotyczy osób korzystających z aplikacji bankowych, portfeli kryptowalutowych i komunikatorów zawierających poufne informacje.

Z perspektywy firm zagrożone są poświadczenia dostępowe, tokeny sesyjne, kontakty służbowe, historia lokalizacji pracowników oraz dane synchronizowane z usługami chmurowymi. Kompromitacja telefonu służbowego może stać się punktem wejścia do środowiska organizacji, zwłaszcza jeżeli urządzenie ma dostęp do poczty, VPN lub narzędzi do pracy zespołowej.

Niepokojące jest również to, iż część zaobserwowanych kampanii nie wyglądała na ściśle ograniczoną do pojedynczych, najwyżej profilowanych ofiar. To zwiększa prawdopodobieństwo, iż skutki podobnych operacji mogą dotknąć także zwykłych użytkowników korzystających z niezałatanych wersji iOS.

Rekomendacje

Najważniejszym działaniem ograniczającym ryzyko pozostaje szybka aktualizacja iPhone’ów oraz iPadów do najnowszych dostępnych wersji systemu. W środowiskach firmowych urządzenia mobilne powinny być objęte takimi samymi wymaganiami bezpieczeństwa jak laptopy i stacje robocze.

• egzekwowanie terminowej instalacji aktualizacji iOS oraz iPadOS,
• monitorowanie floty mobilnej pod kątem zgodności z polityką patchowania,
• wdrożenie rozwiązań MTD lub mobile EDR do wykrywania oznak kompromitacji,
• ograniczanie ekspozycji użytkowników na niezaufane witryny i scenariusze watering hole,
• segmentacja dostępu do zasobów firmowych z urządzeń mobilnych,
• skracanie czasu życia sesji i wzmacnianie ochrony kont przy użyciu MFA,
• analiza logów sieciowych i telemetrii pod kątem nietypowego ruchu HTTP(S),
• przygotowanie procedur reagowania obejmujących izolację urządzenia i rotację poświadczeń.

W przypadku osób wysokiego ryzyka, takich jak dziennikarze, aktywiści, pracownicy administracji publicznej czy kadra kierownicza, warto dodatkowo rozważyć korzystanie z trybu blokady oraz ograniczenie użycia Safari do niezbędnych scenariuszy. najważniejsze znaczenie ma także szybka ocena potencjalnych incydentów i identyfikacja, czy urządzenie mogło mieć kontakt z infrastrukturą wykorzystywaną w kampanii.

Podsumowanie

DarkSword pokazuje, iż zaawansowane łańcuchy exploitów dla iOS stają się coraz bardziej modułowe, skuteczne i dostępne dla szerszego grona operatorów. Połączenie sześciu luk, kampanii watering hole oraz szybkiej eksfiltracji danych tworzy zagrożenie o wysokiej skuteczności i niskiej widoczności.

Dla zespołów bezpieczeństwa płynie z tego jasny wniosek: urządzenia mobilne należy traktować jak pełnoprawne endpointy wysokiego ryzyka. Opóźnienia w aktualizacjach iOS, brak telemetrii mobilnej oraz niedojrzałe procedury reagowania mogą dziś prowadzić do realnych strat operacyjnych i wycieków danych.

Źródła

1. The Hacker News — https://thehackernews.com/2026/03/darksword-ios-exploit-kit-uses-6-flaws.html
2. Lookout — CVE-2026-20700 Update — https://security.lookout.com/threat-intelligence/article/cve-2026-20700-update
3. Apple Support — About the security content of iOS 18.7.2 and iPadOS 18.7.2 — https://support.apple.com/pt-br/125633
4. Apple Support — About the security content of iOS 26.2 and iPadOS 26.2 — https://support.apple.com/he-il/125884