🔍 Contexte

Le 18 mars 2026, le Google Threat Intelligence Group (GTIG) a publié une analyse détaillée d’une nouvelle chaîne d’exploit iOS baptisée DarkSword, identifiée depuis au moins novembre 2025. Cette recherche est publiée en coordination avec Lookout et iVerify.

🎯 Description de la menace

DarkSword est une chaîne d’exploit iOS full-chain exploitant 6 vulnérabilités zero-day pour compromettre complètement des appareils sous iOS 18.4 à 18.7. Elle utilise exclusivement du JavaScript pour toutes les étapes de l’exploitation, éliminant le besoin de contourner PPL ou SPTM.

Les 6 vulnérabilités exploitées sont :

  • CVE-2025-31277 : corruption mémoire dans JavaScriptCore (RCE, iOS < 18.6)
  • CVE-2025-43529 : bug de garbage collection dans le DFG JIT de JavaScriptCore (RCE, iOS 18.6-18.7)
  • CVE-2026-20700 : bypass PAC dans dyld (user-mode)
  • CVE-2025-14174 : corruption mémoire dans ANGLE (sandbox escape WebContent → GPU)
  • CVE-2025-43510 : vulnérabilité de gestion mémoire dans XNU (sandbox escape GPU → mediaplaybackd)
  • CVE-2025-43520 : race condition dans VFS de XNU (élévation de privilèges kernel)

👥 Acteurs de menace identifiés

UNC6748 (novembre 2025) :

  • Cible : utilisateurs en Arabie Saoudite
  • Vecteur : site web thématique Snapchat (snapshare[.]chat)
  • Payload final : GHOSTKNIFE

PARS Defense (fournisseur de surveillance commercial turc, novembre 2025 – janvier 2026) :

  • Cibles : utilisateurs en Turquie et Malaisie
  • OPSEC renforcé : chiffrement ECDH+AES des exploits, obfuscation
  • Payload final : GHOSTSABER

UNC6353 (groupe d’espionnage russe suspecté, décembre 2025 – mars 2026) :

  • Cible : utilisateurs en Ukraine
  • Vecteur : attaques watering hole sur des sites ukrainiens compromis
  • Infrastructure : static.cdncounter[.]net
  • Payload final : GHOSTBLADE
  • Commentaire en russe dans le code source identifié

🦠 Malwares déployés

GHOSTKNIFE (backdoor JavaScript) :

  • Exfiltration : comptes connectés, messages, données navigateur, historique de localisation, enregistrements
  • Téléchargement de fichiers depuis C2, captures d’écran, enregistrement audio
  • Protocole C2 : binaire custom sur HTTP, chiffré ECDH+AES
  • Suppression des crash logs pour couvrir ses traces

GHOSTSABER (backdoor JavaScript) :

  • Commandes : énumération appareil/comptes, listing fichiers, exfiltration, exécution JavaScript arbitraire, requêtes SQLite
  • Certaines commandes non implémentées (audio, géolocalisation) suggèrent un module binaire téléchargeable

GHOSTBLADE (dataminer JavaScript) :

  • Collecte massive : iMessage, Telegram, WhatsApp, mails, contacts, keychains, localisation, photos, notes, calendrier, données crypto, historique Safari, données de santé
  • Moins capable que GHOSTKNIFE/GHOSTSABER, pas de fonctionnalité backdoor continue
  • Présence de debug logging et commentaires dans le code
  • Probablement développé par les développeurs de DarkSword eux-mêmes

🔗 Liens avec Coruna

DarkSword est comparé à la précédente chaîne d’exploit Coruna. UNC6353 utilisait Coruna avant d’adopter DarkSword. La prolifération d’une même chaîne entre acteurs distincts reflète un modèle de commercialisation/partage d’exploits.

📋 Type d’article

Publication de recherche technique CTI produite par GTIG, visant à documenter la chaîne d’exploit DarkSword, ses utilisateurs, ses payloads et ses IOCs pour permettre la détection et la chasse aux menaces.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • UNC6748 (unknown)
  • PARS Defense (unknown)
  • UNC6353 (state-sponsored)

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1404 — Exploit OS Vulnerability (Privilege Escalation)
  • T1005 — Data from Local System (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1083 — File and Directory Discovery (Discovery)
  • T1113 — Screen Capture (Collection)
  • T1123 — Audio Capture (Collection)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1070.002 — Indicator Removal: Clear Linux or Mac System Logs (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1573 — Encrypted Channel (Command and Control)
  • T1176 — Browser Extensions (Persistence)

IOC

  • IPv4 : 62.72.21.10
  • IPv4 : 72.60.98.48
  • Domaines : snapshare.chat
  • Domaines : sahibndn.io
  • Domaines : e5.malaymoil.com
  • Domaines : static.cdncounter.net
  • Domaines : sqwas.shapelie.com
  • URLs : https://static.cdncounter.net
  • SHA256 : 2e5a56beb63f21d9347310412ae6efb29fd3db2d3
  • CVEs : CVE-2025-31277
  • CVEs : CVE-2026-20700
  • CVEs : CVE-2025-43529
  • CVEs : CVE-2025-14174
  • CVEs : CVE-2025-43510
  • CVEs : CVE-2025-43520
  • Fichiers : rce_loader.js
  • Fichiers : rce_module.js
  • Fichiers : rce_worker_18.4.js
  • Fichiers : rce_worker_18.6.js
  • Fichiers : rce_worker_18.7.js
  • Fichiers : sbox0_main_18.4.js
  • Fichiers : sbx0_main.js
  • Fichiers : sbx1_main.js
  • Fichiers : pe_main.js
  • Fichiers : frame.html
  • Fichiers : widgets.js
  • Fichiers : index.html
  • Chemins : /tmp/<uuid>.<numbers>
  • Chemins : /tmp/<uuid>.<numbers>/STORAGE
  • Chemins : /tmp/<uuid>.<numbers>/DATA
  • Chemins : /tmp/<uuid>.<numbers>/TMP
  • Chemins : /private/var/tmp/wifi
  • Chemins : /private/var/tmp/wifi
  • Chemins : /.com.apple.mobile_c
  • Chemins : /installed_apps.txt
  • Chemins : src/InjectJS.js
  • Chemins : src/libs/Chain/Chain.js
  • Chemins : src/libs/Chain/Native.js
  • Chemins : src/libs/Chain/OffsetsStruct.js
  • Chemins : src/libs/Driver/Driver.js
  • Chemins : src/libs/JSUtils/FileUtils.js
  • Chemins : src/libs/JSUtils/Logger.js
  • Chemins : src/libs/JSUtils/Utils.js
  • Chemins : src/main.js
  • Chemins : src/MigFilterBypassThread.js

Malware / Outils

  • DarkSword (framework)
  • GHOSTKNIFE (backdoor)
  • GHOSTSABER (backdoor)
  • GHOSTBLADE (other)
  • Coruna (framework)

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain?hl=en