🔍 Contexte

Publié le 19 mars 2026 par Security Affairs, cet article relaie un rapport de Lookout Threat Labs, en collaboration avec iVerify et Google GTIG, portant sur la découverte d’un nouveau kit d’exploitation iOS baptisé DarkSword, actif depuis fin 2025.

🛠️ Description du toolkit

DarkSword est un kit d’exploitation iOS permettant une compromission complète de l’appareil via une chaîne de six vulnérabilités, dont trois zero-days :

  • CVE-2025-31277 – Corruption mémoire JavaScriptCore (CVSS 8.8)
  • CVE-2026-20700 – Contournement PAC via dyld (CVSS 8.6) (zero-day)
  • CVE-2025-43529 – Corruption mémoire JavaScriptCore (CVSS 8.8) (zero-day)
  • CVE-2025-14174 – Corruption mémoire ANGLE (CVSS 8.8) (zero-day)
  • CVE-2025-43510 – Problème mémoire noyau iOS (CVSS 8.6)
  • CVE-2025-43520 – Corruption mémoire noyau iOS (CVSS 8.6)

Le kit cible les iPhones sous iOS 18.4 à 18.7 et nécessite une interaction utilisateur minimale (near zero-click).

🎯 Mode opératoire

Les attaques reposent sur des watering holes : des sites compromis, y compris des sites gouvernementaux ukrainiens, chargent des iframes malveillantes qui exécutent un script JavaScript (rce_loader.js) pour fingerprinter les appareils et les router vers la chaîne d’exploitation adaptée à leur version iOS.

DarkSword adopte une approche “hit-and-run” : il collecte et exfiltre les données ciblées en quelques secondes à quelques minutes, puis supprime ses traces du système de fichiers. Il ne vise pas la surveillance continue.

💰 Données ciblées

  • Identifiants et mots de passe
  • Informations de portefeuilles de cryptomonnaies
  • Données personnelles sensibles

🌍 Acteurs et ciblage géographique

Le groupe UNC6353, suspecté d’être lié à la Russie, a utilisé DarkSword contre des cibles ukrainiennes. Les campagnes observées visent : Arabie Saoudite, Turquie, Malaisie et Ukraine.

UNC6353 est décrit comme un acteur aux motivations duales (espionnage + financier), probablement dépendant d’exploits achetés sur un marché secondaire, avec des signes de code assisté par IA et une obfuscation limitée.

DarkSword présente des liens avec le kit Coruna, une autre chaîne d’exploitation iOS. Google GTIG confirme l’utilisation de DarkSword par plusieurs acteurs depuis novembre 2025, dont des vendors de surveillance.

📰 Nature de l’article

Article de presse spécialisée relayant une publication de recherche de Lookout Threat Labs, visant à documenter une nouvelle menace iOS active et à alerter sur la prolifération des exploit chains sur le marché secondaire.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • UNC6353 (state-sponsored)

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1404 — Exploit OS Vulnerability (Privilege Escalation)
  • T1005 — Data from Local System (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1070 — Indicator Removal (Defense Evasion)
  • T1592 — Gather Victim Host Information (Reconnaissance)
  • T1539 — Steal Web Session Cookie (Credential Access)

IOC

  • CVEs : CVE-2025-31277
  • CVEs : CVE-2026-20700
  • CVEs : CVE-2025-43529
  • CVEs : CVE-2025-14174
  • CVEs : CVE-2025-43510
  • CVEs : CVE-2025-43520
  • Fichiers : rce_loader.js

Malware / Outils

  • DarkSword (other)
  • Coruna (other)

🔗 Source originale : https://securityaffairs.com/189662/hacking/darksword-emerges-as-powerful-ios-exploit-tool-in-global-attacks.html