DarkSword : chaine de 6 CVE iOS exploitee dans la nature

DarkSword : anatomie d'un exploit kit iOS multi-acteurs

Lookout, en collaboration avec le Google Threat Intelligence Group (GTIG) et iVerify, a publie le 18 mars 2026 une analyse detaillee de DarkSword, un kit d'exploitation ciblant iOS 18.4 a 18.7. Cet outil a ete utilise par au moins quatre groupes distincts depuis novembre 2025.

Chaine d'exploitation : 6 CVE enchainées

DarkSword exploite six vulnerabilites pour obtenir un acces complet au noyau iOS. Les CVE documentees sont CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 et CVE-2025-43520. La chaine combine sandbox escape (sortie de l'environnement isole du navigateur), privilege escalation (elevation de privileges vers des composants systeme) et remote code execution (execution de code arbitraire a distance).

Selon iVerify, toutes les failles exploitees sont documentees et corrigees dans les dernieres versions d'iOS. Le vecteur initial passe par Safari, ou le kit charge dynamiquement le script d'exploitation adapte a la version iOS detectee sur l'appareil cible.

Architecture technique du kit

L'exploitation debute dans Safari et enchaine les vulnerabilites pour obtenir un acces en lecture et ecriture au noyau. Un orchestrateur principal nomme pe_main.js prend ensuite le relais et injecte un moteur JavaScript dans plusieurs services iOS privilegies, notamment App Access, Wi-Fi, Springboard, Keychain et iCloud.

Trois familles de malware ont ete identifiees au sein de l'ecosysteme DarkSword.

GHOSTBLADE est un dataminer JavaScript. Il exfiltre les donnees de portefeuilles crypto (Coinbase, Binance, Ledger), les informations systeme et reseau, l'historique du navigateur, les photos, la localisation, les communications iMessage, Telegram, WhatsApp, les emails, les appels et les contacts.

GHOSTKNIFE est une backdoor capable d'exfiltrer les comptes connectes, les messages, les donnees du navigateur, l'historique de localisation et les enregistrements.

GHOSTSABER est une backdoor JavaScript qui peut enumerer les appareils et comptes, lister les fichiers, executer du code JavaScript et voler des donnees.

Une fois l'exfiltration terminee, DarkSword efface ses fichiers temporaires et se termine. Cette conception indique un outil concu pour le vol ponctuel plutot que la surveillance persistante.

Acteurs identifies et campagnes

Quatre acteurs distincts ont ete observes par le GTIG.

UNC6748 a mene les premieres attaques en novembre 2025 en Arabie Saoudite via un site imitant Snapchat.

PARS Defense, un vendeur commercial de surveillance turc, a deploye DarkSword en Turquie fin novembre 2025 sur des appareils iOS 18.4 a 18.7. Cette campagne se distinguait par un soin particulier apporte a la securite operationnelle. L'obfuscation etait appliquee au loader d'exploit et a certaines etapes, avec un chiffrement ECDH plus AES entre le serveur et la victime. Un client de PARS Defense a ensuite utilise le kit en Malaisie avec le malware GHOSTSABER.

UNC6353, suspecte d'etre un acteur d'espionnage russe, utilisait deja le kit Coruna depuis l'ete 2025. En decembre 2025, ce groupe a commence a exploiter DarkSword contre des cibles ukrainiennes. Les attaques ont continue jusqu'en mars 2026 via des attaques de type watering hole sur des sites gouvernementaux ukrainiens compromis, deployant GHOSTBLADE.

Fait notable releve par le GTIG : bien que les deploiements anterieurs par UNC6748 et PARS Defense supportaient iOS 18.7, UNC6353 ne ciblait pas cette version malgre une chronologie d'operations plus tardive.

Developpement assiste par IA generative

Lookout note que le code de DarkSword, comme celui de Coruna, presente des signes d'expansion de codebase assistee par LLM (Large Language Model, modele de langage de grande taille). De nombreux commentaires expliquent les fonctionnalites du code, suggerant une approche de developpement professionnelle axee sur la maintenabilite et l'extensibilite a long terme.

Lookout qualifie le malware de plateforme professionnelle permettant le developpement rapide de modules grace a l'acces a un langage de programmation de haut niveau.

Recommandations techniques

La mise a jour vers iOS 26.3.1 corrige l'ensemble des vulnerabilites exploitees. Pour les appareils ne pouvant pas recevoir cette mise a jour, Apple pourrait retroporter les correctifs comme elle l'a fait pour les exploits Coruna, mais aucune confirmation officielle n'a ete publiee.

L'activation du Lockdown Mode est recommandee pour les profils a risque, car ce mode restreint les surfaces d'attaque exploitees par DarkSword, notamment les fonctionnalites avancees de Safari.

Sources : Lookout (lookout.com/blog/darksword), Google Threat Intelligence Group (cloud.google.com/blog), iVerify (iverify.io/blog), BleepingComputer