📰 Source : TechCrunch (Lorenzo Franceschi-Bicchierai & Zack Whittaker), publiĂ© le 23 mars 2026.

🔍 Contexte : Quelques semaines aprĂšs la dĂ©couverte d’une campagne d’attaque utilisant l’outil DarkSword, une version plus rĂ©cente de ce kit d’exploitation a Ă©tĂ© publiĂ©e publiquement sur GitHub. Cet outil Ă©tait prĂ©cĂ©demment associĂ© Ă  des hackers gouvernementaux russes ciblant des cibles ukrainiennes.

⚠ Nature de la menace : DarkSword est un spyware iOS fonctionnant sous forme de fichiers HTML et JavaScript, ne nĂ©cessitant aucune expertise iOS pour ĂȘtre dĂ©ployĂ©. Selon les chercheurs d’iVerify, de Google et de Lookout, l’outil est opĂ©rationnel « out of the box » et peut ĂȘtre hĂ©bergĂ© sur un serveur en quelques minutes.

🎯 Cibles vulnĂ©rables : Les appareils iPhone et iPad tournant sous iOS 18 ou antĂ©rieur sont exposĂ©s. Apple estime qu’environ un quart de ses 2,5 milliards d’appareils actifs fonctionnent encore sous iOS 18 ou une version antĂ©rieure, soit potentiellement des centaines de millions d’appareils.

đŸ› ïž CapacitĂ©s techniques documentĂ©es :

  • Lecture et exfiltration de fichiers forensiquement pertinents via HTTP
  • Injection dans un processus avec accĂšs au systĂšme de fichiers
  • Vol de contacts, messages, historique d’appels, keychain iOS (mots de passe Wi-Fi, secrets)
  • Envoi des donnĂ©es vers un serveur distant contrĂŽlĂ© par l’attaquant
  • RĂ©fĂ©rences Ă  l’upload de donnĂ©es vers un site vestimentaire ukrainien (origine indĂ©terminĂ©e)

✅ RĂ©ponse d’Apple : Apple a Ă©mis une mise Ă  jour d’urgence le 11 mars 2026 pour les appareils ne pouvant pas exĂ©cuter les versions rĂ©centes d’iOS. Le mode Lockdown bloque Ă©galement ces attaques spĂ©cifiques.

🔗 Liens avec d’autres outils : L’article mentionne Ă©galement la dĂ©couverte rĂ©cente d’un autre toolkit iPhone nommĂ© Coruna, dĂ©veloppĂ© par le contractant de dĂ©fense L3Harris (division Trenchant).

📌 Type d’article : Article de presse spĂ©cialisĂ©e relatant une fuite d’outil offensif et son impact potentiel sur la surface d’attaque iOS mondiale.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • Russian government hackers (state-sponsored)

TTP

  • T1203 — Exploitation for Client Execution (Execution)
  • T1005 — Data from Local System (Collection)
  • T1552.001 — Credentials from Password Stores (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1636.003 — Contact List (Collection)
  • T1636.002 — Call Log (Collection)

Malware / Outils

  • DarkSword (other)
  • Coruna (other)

🔗 Source originale : https://techcrunch.com/2026/03/23/someone-has-publicly-leaked-an-exploit-kit-that-can-hack-millions-of-iphones/

🖮 Archive : https://web.archive.org/web/20260328123343/https://techcrunch.com/2026/03/27/whoop-has-lebron-now-it-wants-your-mom/