Ваш iPhone обновлён до последней версии iOS? Если нет — DarkSword уже может получить доступ к вашим данным и криптокошельку

На рынке шпионского ПО появился новый набор эксплойтов для iPhone под названием DarkSword. Исследователи Google, iVerify и Lookoutt сообщили, что инструмент уже используют сразу несколько поставщиков шпионского ПО и, вероятно, группы, работающие в интересах государств. Главная цель таких атак проста: незаметно добраться до личных данных владельца смартфона.

По данным исследователей, DarkSword применяют как минимум с ноября 2025 года. Набор рассчитан на iOS 18.4, 18.5, 18.6 и 18.7, использует шесть уязвимостей и устанавливает три разных бэкдора. Вредоносные компоненты собирают сообщения, записи, историю местоположений, сведения об учетных записях, данные криптокошельков, фотографии, журналы звонков, контакты и другую чувствительную информацию.

Специалисты отдельно отметили важную деталь: за один месяц аналитики уже во второй раз столкнулись с ситуацией, когда разные преступные группы пользуются одним и тем же набором эксплойтов для iPhone. Ранее исследователи описывали похожую платформу под названием Coruna. Группа UNC6353, которую связывают со шпионскими операциями, применяла и Coruna, и DarkSword в атаках через зараженные сайты.

Цепочка заражения срабатывает после перехода на вредоносный сайт. Дальше DarkSword последовательно использует шесть уязвимостей: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 и CVE-2025-43520. Сначала злоумышленники добиваются удаленного выполнения кода в браузере, затем через графический процесс выходят за пределы песочницы, получают доступ к ядру системы и в конце повышают привилегии. После этого вредоносный код внедряет в память JavaScript-импланты и вытягивает данные из системных процессов. Все шесть уязвимостей Apple уже закрыла, поэтому исследователи советуют как можно быстрее установить свежую версию iOS.

Google описала три группы, замеченные в использовании DarkSword, но допустила, что список может быть шире. Кластер UNC6748 запускал атаки через сайт snapshare[.]chat, оформленный под сервис Snapchat, и несколько раз в ноябре 2025 года нацеливался на пользователей из Саудовской Аравии. В той кампании использовался бэкдор GhostKnife. Такой модуль крал данные авторизованных учетных записей, сообщения, историю браузера, сведения о перемещениях и аудиозаписи, а также умел загружать файлы с управляющего сервера, делать снимки экрана и записывать звук с микрофона.

В конце ноября 2025 года аналитики Google зафиксировали еще одну кампанию. На этот раз DarkSword использовала турецкая компания PARS Defense, работающая на рынке коммерческого шпионского ПО, против пользователей iPhone в Турции. В январе исследователи увидели другого клиента PARS Defense, который атаковал цели в Малайзии. В обеих операциях применялся другой JavaScript-бэкдор под названием GhostSaber. Программа собирала сведения об устройстве и учетных записях, показывала список файлов, отправляла данные на сервер операторов и позволяла удаленно исполнять JavaScript-код. При этом часть команд в образцах GhostSaber пока не доведена до рабочего состояния, хотя в коде уже есть ссылки на функции записи звука и передачи текущих координат устройства.

Отдельно Google проследила применение DarkSword группой UNC6353 в новой кампании с атаками через зараженные сайты. В той операции злоумышленники разворачивали бэкдор GhostBlade. Программа выглядит проще других модулей, но список собираемых данных все равно получился очень большим: текстовые сообщения, переписки в мессенджерах, контакты, журнал звонков, идентификаторы устройства и профилей, история местоположений, фотографии вместе с метаданными, сведения о криптокошельках, cookies браузера и многое другое. Собранная информация отправлялась на сервер атакующих по HTTPS.

Lookout обращает внимание еще на одну важную особенность. И DarkSword, и более ранний набор Coruna нацелены не только на шпионаж, но и на кражу криптовалюты. Такое сочетание указывает на двойную мотивацию операторов: финансовую выгоду и разведывательные задачи. По оценке компании, UNC6353 располагает хорошим финансированием и полезными связями, хотя по уровню технической сложности уступает самым сильным группировкам.