Сложный полноцепочечный эксплоит-кит, нацеленный на устройства Apple iOS под кодовым названием «DarkSword», активно использовался несколькими угрозыми акторами как минимум с ноября 2025 года. Это открытие, о котором сообщили Группа анализа угроз Google (GTIG), iVerify и Lookout, представляет собой значительную эскалацию в ландшафте мобильных угроз. DarkSword разработан для полного захвата управления iPhone под управлением iOS версий с 18.4 по 18.7. Его архитектура использует цепочку из шести различных уязвимостей, три из которых были ранее неизвестными уязвимостями типа zero-day, что позволяет злоумышленникам обходить защитные механизмы Apple без какого-либо взаимодействия с пользователем. Кит использовался в различных кампаниях разными субъектами, включая коммерческих поставщиков средств наблюдения и подозреваемых государственных хакеров, с заявленными целями в Саудовской Аравии, Турции, Малайзии и Украине.
Примечательно, что подозреваемая российская группа шпионажа, отслеживаемая как UNC6353, была идентифицирована как распространитель DarkSword среди украинских пользователей. Эта же группа ранее связывалась с эксплоит-китом «Coruna», еще одним полноцепочечным оружием для iOS, обнаруженным всего за месяц до этого, который доставлялся через скомпрометированные веб-сайты. Стремительное появление двух таких мощных китов — Coruna и теперь DarkSword — за короткий промежуток времени подчеркивает опасную тенденцию распространения продвинутых мобильных эксплойтов. Эти киты попадают на растущий вторичный рынок, позволяя более широкому кругу угрозых акторов, включая тех, кто мотивирован финансово и имеет ограниченные технические ресурсы, приобретать и развертывать инструменты, которые ранее считались «высококлассными» инструментами кибершпионажа.
Основная цель кита DarkSword — комплексная кража конфиденциальных персональных данных. По словам исследователей Lookout, он предназначен для извлечения обширного набора информации, включая учетные данные устройства, и специально нацелен на широкий спектр приложений криптовалютных кошельков. Эта направленность strongly suggests участие финансово мотивированных акторов наряду со шпионскими группами. DarkSword работает по методологии «удар-и-бег», выполняя процессы сбора и эксфильтрации данных в течение секунд или минут после заражения, а затем проводит очистку для удаления следов своей активности, что затрудняет судебный анализ и обнаружение.
Операционное использование как Coruna, так и DarkSword разнообразным набором акторов подчеркивает критический и постоянный риск кибербезопасности: распространение мощных эксплоит-цепей среди угрозых групп с разной географией и мотивацией. Эта коммодитизация продвинутых атакующих фреймворков снижает порог входа для сложных цифровых вторжений, делая угрозы высокого уровня более распространенными. Для защитников и пользователей эта реальность усиливает императив последовательных и своевременных обновлений программного обеспечения для исправления уязвимостей, использования авторитетных мобильных решений безопасности, способных обнаруживать аномалии в поведении, и повышенной бдительности в отношении посещаемых ссылок и загружаемых файлов на мобильных устройствах, которые остаются главными целями для продвинутых постоянных угроз.
