كشفت تقارير من مجموعة تهديدات جوجل (GTIG) وشركتي iVerify وLookout عن نشاط مجموعة استغلال متطورة وكاملة السلسلة تستهدف أجهزة آبل العاملة بنظام iOS، تحمل الاسم الرمزي "DarkSword"، حيث تم نشرها من قبل عدة جهات تهديد منذ نوفمبر 2025 على الأقل. يمثل هذا الاكتشاف تصعيداً خطيراً في مشهد التهديدات الموجهة للأجهزة المحمولة. صُممت DarkSword لتحقيق سيطرة كاملة على أجهزة آيفون التي تعمل بإصدارات نظام iOS من 18.4 إلى 18.7. وتعتمد بنيتها على سلسلة من ست ثغرات أمنية متميزة، ثلاث منها كانت ثغرات غير معروفة سابقاً (Zero-Day)، مما يمكن المهاجمين من تجاوز حماية أمان آبل دون أي تفاعل من المستخدم. تم استخدام هذه المجموعة في حملات منفصلة من قبل كيانات مختلفة، بما في ذلك بائعي برامج المراقبة التجارية وجهات مشتبه في كونها مدعومة من دول، حيث استهدفت تقاريرٌ مستخدمين في السعودية وتركيا وماليزيا وأوكرانيا.
من الجدير بالذكر أنه تم ربط مجموعة تجسس روسية مشتبه بها تُعرف باسم UNC6353 بنشر DarkSword ضد المستخدمين الأوكرانيين. وقد ارتبطت هذه المجموعة سابقاً أيضاً بمجموعة الاستغلال المسماة "Coruna"، وهي سلاح آخر كامل السلسلة لنظام iOS تم اكتشافه قبل شهر واحد فقط، والذي تم تسليمه عبر مواقع ويب مخترقة. يسلط الظهور السريع لمجموعتين قويتين مثل Coruna وDarkSword في فترة زمنية قصيرة الضوء على اتجاه خطير في انتشار ثغرات الاستغلال المتقدمة للأجهزة المحمولة. تدخل هذه المجموعات إلى سوق مستعملة مزدهرة، مما يمكن نطاقاً أوسع من جهات التهديد، بما في تلك ذات الدوافع المالية والموارد التقنية المحدودة، من الحصول على أدوات كانت تُعتبر في السابق من أدوات التجسس الإلكتروني "من الطراز الأول" ونشرها.
الهدف الأساسي لمجموعة DarkSword هو السرقة الشاملة للبيانات الشخصية الحساسة. وفقاً لباحثي Lookout، صُممت لاستخراج مجموعة واسعة من المعلومات، بما في ذلك بيانات اعتماد الجهاز، كما تستهدف على وجه التحديد مجموعة واسعة من تطبيقات محافظ العملات المشفرة. يشير هذا الاستهداف بقوة إلى مشاركة جهات ذات دوافع مالية إلى جانب مجموعات تركز على التجسس. تعمل DarkSword بمنهجية "اضرب واهرب"، حيث تنفذ عمليات جمع البيانات وتسريبها في غضون ثوانٍ أو دقائق من الإصابة، قبل أن تقوم بعملية تنظيف لإزالة آثار نشاطها، مما يعقد التحليل الجنائي والكشف.
يشير الاستخدام التشغيلي لكل من Coruna وDarkSword من قبل مجموعة متنوعة من الجهات الفاعلة إلى خطر مستمر وجوهري في أمن الفضاء الإلكتروني: وهو انتشار سلاسل الاستغلال القوية عبر مجموعات التهديد ذات الجغرافيات والدوافع المختلفة. تؤدي هذه "تسليع" أطر الهجوم المتقدمة إلى خفض عتبة الدخول للاختراقات الرقمية المعقدة، مما يجعل التهديدات عالية المستوى أكثر شيوعاً. بالنسبة للمدافعين والمستخدمين، يعزز هذا الواقع ضرورة التحديثات البرمجية المنتظمة وفي الوقت المناسب لتصحيح الثغرات، واستخدام حلول أمنية موثوقة للأجهزة المحمولة قادرة على اكتشاف الشذوذ في السلوك، وزيادة اليقظة بشأن الروابط التي تتم زيارتها والملفات التي يتم تنزيلها على الأجهزة المحمولة، والتي تظل أهدافاً رئيسية للتهديدات المستمرة المتقدمة.
