Download am Donnerstag. Gestern, am 18. März 2026, haben Google-GTIG, iVerify und Lookout koordiniert Details zu DarkSword veröffentlicht – einem hochentwickelten Exploit-Kit, das iPhones ins Visier nimmt.
DarkSword ist eine vollständige iOS-Exploit-Chain, die komplett in JavaScript geschrieben wurde. Sie beginnt mit der Ausnutzung von Safari-Lücken zur Remote Code Execution, führt dann einen Sandbox-Escape durch und nutzt anschließend Kernel-Schwachstellen, um privilegierten Code auszuführen und die finale Payload zu deployen.
Das Kit nutzt insgesamt sechs Sicherheitslücken: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 und CVE-2025-43520 – und betrifft iOS-Versionen 18.4 bis 18.7.
DarkSword nutzt eine Hit-and-Run-Technik, um in kürzester Zeit hochsensible Daten zu exfiltrieren – darunter Zugangsdaten, Krypto-Wallets, SMS/iMessage, WhatsApp- und Telegram-Nachrichten sowie gespeicherte E-Mails. Hinzu kommen WLAN-Passwörter, Anrufverlauf, Standorthistorie, Browserdaten sowie Gesundheits-, Notiz- und Kalenderdatenbanken.
GTIG hat mehrere verschiedene Nutzer der DarkSword-Exploit-Chain identifiziert, die bis mindestens November 2025 zurückreichen. Konkret sind drei Akteure bekannt:
- UNC6748 – startete im November 2025 Angriffe auf saudi-arabische Nutzer über eine gefälschte Snapchat-Seite;
- PARS Defense – ein türkischer Anbieter kommerzieller Überwachungssoftware, der das Kit in der Türkei und Malaysia einsetzte;
- UNC6353 – eine mutmaßliche russische Spionagegruppe, die DarkSword in Watering-Hole-Angriffen gegen ukrainische Ziele einsetzte.
DarkSword ist eine professionell entwickelte Plattform, die durch den Einsatz von JavaScript eine schnelle Entwicklung neuer Module ermöglicht. Einige JavaScript-Dateien enthielten Referenzen auf ältere iOS-Versionen (17.4.1 und 17.5.1), was auf eine frühere Version des gleichen Kits hindeutet.
Laut Lookout zeigen sowohl DarkSword als auch das früher entdeckte Coruna-Kit Anzeichen einer Codebase-Erweiterung mithilfe von Large Language Models – sichtbar an zahlreichen Kommentaren, die Codefunktionen erklären.
GTIG meldete die Schwachstellen Ende 2025 an Apple – alle wurden mit dem Release von iOS 26.3.1 gepatcht, wobei die meisten bereits früher geschlossen wurden. Da die Exploit-Chain allerdings Lücken betrifft, die bis in iOS-Versionen von 2026 reichen, könnten potenziell noch Hunderte Millionen Geräte gefährdet sein. Wer ein älteres, nicht mehr updatefähiges Gerät nutzt, sollte dessen Einsatz im beruflichen Kontext kritisch überdenken.
[ wired.com ]
Noch keine Kommentare.