🔍 Contexte

Publié le 1 avril 2026 par BleepingComputer, cet article couvre la réponse d’Apple à l’exploitation active du kit d’exploit DarkSword, ciblant les iPhones sous iOS 18.4 à 18.7. La mise à jour iOS 18.7.7 a été étendue à un plus grand nombre d’appareils le 1er avril 2026.

🎯 Le kit d’exploit DarkSword

Dévoilé en mars 2026 par des chercheurs de Lookout, iVerify et Google Threat Intelligence (GTIG), DarkSword exploite six vulnérabilités :

  • CVE-2025-31277
  • CVE-2025-43529
  • CVE-2026-20700
  • CVE-2025-14174
  • CVE-2025-43510
  • CVE-2025-43520

Contrairement aux exploits iOS habituellement réservés à des campagnes très ciblées, DarkSword a été utilisé de manière beaucoup plus large.

👥 Acteurs malveillants identifiés

Trois acteurs distincts ont été observés utilisant ce kit :

  • PARS Defense : fournisseur turc de surveillance commerciale
  • UNC6748 : acteur de menace suivi par GTIG
  • UNC6353 : groupe d’espionnage présumé russe

🦠 Malwares déployés

GTIG a observé trois familles de malwares déployées sur les appareils victimes :

  • GhostBlade : infostealer JavaScript agressif
  • GhostKnife : backdoor
  • GhostSaber : malware JavaScript capable d’exécuter du code et de voler des données

🔓 Aggravation de la situation

Le mois précédant la publication, un chercheur a publié le kit DarkSword sur GitHub, le rendant accessible à d’autres acteurs malveillants souhaitant cibler des iPhones plus anciens.

🛡️ Réponse d’Apple

Depuis juillet 2025 (iOS 18.6), Apple corrige progressivement les failles. La mise à jour iOS 18.7.7 étend désormais la protection à une large gamme d’appareils : iPhone XR, XS, 11, SE (2e et 3e gen), 12, 13, 14, 15, 16, 16e, ainsi que plusieurs modèles d’iPad.

📰 Nature de l’article

Article de presse spécialisée combinant annonce de patch et analyse de menace, visant à informer les utilisateurs iOS sur l’importance de la mise à jour et à documenter les acteurs exploitant DarkSword.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • PARS Defense (cybercriminal)
  • UNC6748 (unknown)
  • UNC6353 (state-sponsored)

TTP

  • T1203 — Exploitation for Client Execution (Execution)
  • T1189 — Drive-by Compromise (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1005 — Data from Local System (Collection)
  • T1071 — Application Layer Protocol (Command and Control)

IOC

  • CVEs : CVE-2025-31277
  • CVEs : CVE-2025-43529
  • CVEs : CVE-2026-20700
  • CVEs : CVE-2025-14174
  • CVEs : CVE-2025-43510
  • CVEs : CVE-2025-43520

Malware / Outils

  • GhostBlade (stealer)
  • GhostKnife (backdoor)
  • GhostSaber (other)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/apple-expands-ios-18-updates-to-more-iphones-to-block-darksword-attacks/

🖴 Archive : https://web.archive.org/web/20260402071227/https://www.bleepingcomputer.com/news/security/apple-expands-ios-18-updates-to-more-iphones-to-block-darksword-attacks/