DarkSword iOS漏洞利用套件:凭借6个漏洞(含3个0Day)达成对设备的完全掌控

据情报组织报告称，自2025年11月起，多个威胁行为者一直在使用一款针对苹果iOS设备的新型漏洞利用工具包，该工具旨在窃取敏感数据。

据GTIG称，多家商业监控供应商和疑似国家支持的行为者在针对沙特阿拉伯、土耳其、马来西亚和乌克兰的多个针对性活动中使用了代号DarkSword的全链剥削工具包。

DarkSword的发现使其成为继Coruna之后，在一个月内被发现的第二个iOS漏洞利用工具包。该套件旨在针对运行iOS 18.4至18.7版本的iPhone，据称是由一个名为UNC6353的疑似俄罗斯间谍组织在针对乌克兰用户的攻击中使用的。

值得注意的是，UNC6353还与利用Coruna在针对乌克兰人的攻击有关，该攻击通过将JavaScript框架注入被攻破的网站。

Lookout表示：“DarkSword旨在从设备中提取大量个人信息，包括凭证，并特别针对大量加密钱包应用，暗示这是一个以财务为目的的威胁行为者。”“值得注意的是，DarkSword似乎采取了'打了就跑'的策略，在几秒钟到最多几分钟内收集并从设备中提取目标数据，随后进行清理。”

像Coruna和DarkSword这样的漏洞链设计成能让用户几乎无需任何操作就能完全访问受害者的设备。研究结果再次表明，利用漏洞利用存在二手市场，使资源有限、目标不一定与网络间谍相关的威胁组织能够获取“顶级漏洞利用”并用来感染移动设备。

GTIG表示：“DarkSword和Coruna被各种行为方同时使用，显示出在不同地域和动机的行为者之间持续存在漏洞扩散的风险。”

与新发现的套件关联的漏洞链利用了六个不同的漏洞部署了三个有效载荷，其中CVE-2026-20700、CVE-2025-43529和CVE-2025-14174在苹果修补前被用作零日漏洞：

CVE-2025-31277- JavaScriptCore 内存损坏漏洞（版本 18.6 已修补）

CVE-2026-20700- 用户模式指针认证码（PAC）绕过 dyld（版本 26.3 已修补）

CVE-2025-43529- JavaScriptCore 内存损坏漏洞（已于 18.7.3 和 26.2 版本中修补）

CVE-2025-14174- ANGLE 内存损坏漏洞（在版本 18.7.3 和 26.2 中已修补）

CVE-2025-43510- iOS 内核内存管理漏洞（已在 18.7.2 和 26.1 版本中修补）

CVE-2025-43520- iOS 内核内存损坏漏洞（已在 18.7.2 和 26.1 版本中修补）

Lookout表示，他们是在分析与UNC6353相关的恶意基础设施后发现DarkSword的，发现其中一个被攻破的域名托管了一个恶意iFrame元素，该元素负责向访问该网站的指纹设备加载JavaScript，并判断目标是否需要被引导到iOS漏洞链。目前尚不清楚这些网站是如何被感染的。

值得注意的是，JavaScript专门寻找运行18.4至18.6.2版本的iOS设备，而Coruna则针对13.0至17.2.1的旧iOS版本。

“DarkSword 是一个完整的漏洞链和信息窃取工具，用 JavaScript 编写，”Lookout 解释道。“它利用多个漏洞建立特权代码执行，访问敏感信息并将其从设备中撤出。”

与Coruna 类似，攻击链始于用户通过 Safari 访问嵌入包含 JavaScript 的 iFrame 网页。一旦发布，DarkSword 能够突破 WebContent 沙盒（即 Safari 的渲染过程）的限制，并利用 WebGPU 注入苹果推出的系统守护进程 mediaplaybackd，用于处理媒体播放功能。

这反过来使数据挖掘恶意软件——称为GHOSTBLADE——能够访问特权进程和受限制的文件系统部分。在成功提升权限后，编排模块用于加载额外组件，这些组件旨在收集敏感数据，并将外泄负载注入 Springboard，通过 HTTP（S） 将分级信息转移到外部服务器。

这包括电子邮件、iCloud Drive文件、联系人、短信、Safari浏览历史和Cookie、加密货币钱包和交易所数据、用户名、密码、照片、通话记录、Wi-Fi WiFi配置和密码、位置历史、日历、蜂窝和SIM信息、已安装的应用列表、来自苹果应用如备忘录和健康的数据，以及来自Telegram和WhatsApp等应用的消息记录。

“鉴于Coruna和DarkSword都具备加密货币盗窃和情报收集能力，我们必须考虑UNC6353可能是俄罗斯支持的私掠组织或犯罪代理威胁者，”Lookout说。

“DarkSword代码中完全没有混淆，iframe的HTML也没有混淆，而且DarkSword文件接收器设计简单且名称明显，这让我们相信UNC6353可能无法获得强大的工程资源，或者根本不关心采取适当的OPSEC措施。”

DarkSword的使用还与另外两个威胁行为者有关——

UNC6748，于2025年11月通过一个以Snapchat为主题的网站snapshare[.]聊天，利用漏洞链释放了GHOSTKNIFE——一个能够窃取信息的JavaScript后门。

与土耳其商业监控供应商PARS Defense相关的活动，该公司于2025年11月至2026年1月使用DarkSword作为针对土耳其和马来西亚用户的活动一部分，旨在发布GHOSTSABER后门，该JavaScript后门通过外部服务器通信，促进设备和账户枚举、文件列表、数据泄露及任意JavaScript代码的执行。

谷歌表示，2025年12月观察到的DarkSword使用UNC6353仅支持iOS 18.4至18.6版本，而归因于UNC6748和PARS Defense的使用也针对运行18.7版本的iOS设备。

iVerify表示：“这是一个月内第二次，威胁行为者利用水坑攻击针对iPhone用户。”“值得注意的是，这两次袭击都不是单独针对的。这些综合攻击现在很可能影响数亿未打补丁的设备，运行iOS版本从13到18.6.2。”

“在这两次情况下，这些工具的发现都是由于重大的作战安全（OPSEC）失误以及在部署iOS攻击能力时的疏忽。这些近期事件引发了几个关键问题：iOS设备0日和n日漏洞利用的市场规模和完善度如何？这些强大能力对有经济动机的参与者来说有多容易获得？”