Darksword : chaîne d'exploits iOS 18.4-18.6.2, 6 CVE et exfil...

Lookout Threat Labs, en collaboration avec Google Threat Intelligence Group et iVerify, a publié l'analyse d'un nouveau kit d'exploitation iOS baptisé Darksword. Ce framework cible les appareils sous iOS 18.4 à 18.6.2 avec une chaîne d'exploits aboutissant à un accès kernel read/write complet.

Chaîne d'exploitation

Darksword exploite six vulnérabilités documentées, toutes corrigées dans les versions iOS récentes :

• CVE-2025-31277 — type confusion
• CVE-2025-43529 — use-after-free
• CVE-2026-20700 — out-of-bounds write
• CVE-2025-14174 — bug copy-on-write kernel
• CVE-2025-43510 — escalade de privilèges kernel
• CVE-2025-43520 — escalade de privilèges kernel

L'attaque débute dans Safari via un iframe malveillant injecté dans des sites légitimes compromis. Le kit détecte la version iOS de la cible et charge dynamiquement le script d'exploitation adapté. Après obtention de l'accès kernel, un orchestrateur principal (pe_main.js) prend le relais.

Architecture modulaire

L'orchestrateur injecte un moteur JavaScript dans des services iOS privilégiés : App Access, Wi-Fi, Springboard, Keychain et iCloud. Les modules d'exfiltration ciblent :

• Keychain (mots de passe stockés)
• Photos (y compris images cachées et captures d'écran)
• Bases de données WhatsApp et Telegram
• Portefeuilles crypto : Coinbase, Binance, Ledger et autres
• SMS, carnet de contacts, historique d'appels
• Historique de localisation et données Apple Health
• Cookies et historique de navigation
• Mots de passe Wi-Fi stockés
• Comptes connectés et liste d'applications installées

Un point notable : Darksword nettoie ses fichiers temporaires après exfiltration et termine son exécution. Ce comportement « hit-and-run » le distingue des implants de surveillance persistants type Pegasus.

Infrastructure et attribution

Le groupe derrière Darksword est suivi comme UNC6353, le même acteur lié au kit d'exploitation Coruna divulgué début mars. L'infrastructure partage des serveurs C2 et des patterns de code communs entre les deux frameworks.

Lookout note que des outils LLM ont été utilisés pour étendre certaines fonctionnalités de Darksword, mais précise que le cœur du malware est un développement professionnel avec une architecture pensée pour la maintenabilité et l'extensibilité à long terme. Le code utilise un langage de haut niveau comme couche d'abstraction au-dessus des primitives d'exploitation.

L'attribution pointe vers un acteur russophone avec des objectifs financiers (vol de crypto) couplés à du renseignement aligné sur les intérêts des services russes. Des iframes malveillants ont été repérés sur des sites gouvernementaux ukrainiens.

Remédiation

Toutes les vulnérabilités sont patchées dans iOS 26.3.1. Les indicateurs de compromission (IoC) sont disponibles dans les rapports de Lookout et iVerify. Pour les appareils à risque élevé, Apple recommande l'activation du Lockdown Mode, qui désactive plusieurs vecteurs d'attaque exploités par la chaîne Darksword (JavaScript JIT, iframes tiers, etc.).

Les appareils sous iOS 18.x ne recevant plus de mises à jour restent vulnérables. Apple n'a pas encore confirmé de backport de correctifs pour ces versions.