Một bộ công cụ exploit mới dành cho các thiết bị Apple iOS, được thiết kế để đánh cắp dữ liệu nhạy cảm, đang bị nhiều tác nhân đe dọa sử dụng kể từ ít nhất tháng 11 năm 2025, theo báo cáo từ Google Threat Intelligence Group (GTIG), iVerify và Lookout.
Theo GTIG, nhiều nhà cung cấp giám sát thương mại và các tác nhân bị nghi ngờ do nhà nước bảo trợ đã sử dụng bộ công cụ exploit full-chain, có tên mã DarkSword, trong các chiến dịch riêng biệt nhắm vào Ả Rập Xê Út, Thổ Nhĩ Kỳ, Malaysia và Ukraine.
Việc phát hiện ra DarkSword khiến nó trở thành bộ công cụ exploit iOS thứ hai, sau Coruna, được phát hiện trong vòng một tháng. Bộ công cụ này được thiết kế để nhắm mục tiêu vào các iPhone chạy phiên bản iOS từ 18.4 đến 18.7 và được cho là đã được triển khai bởi một nhóm gián điệp Nga bị nghi ngờ có tên UNC6353 trong các cuộc tấn công nhắm vào người dùng Ukraine.
Điều đáng chú ý là UNC6353 cũng đã được liên kết với việc sử dụng Coruna trong các cuộc tấn công nhằm vào người Ukraine bằng cách tiêm framework JavaScript vào các trang web bị xâm nhập.
"DarkSword nhằm mục đích trích xuất một bộ thông tin cá nhân mở rộng, bao gồm cả credentials từ thiết bị và đặc biệt nhắm mục tiêu vào vô số ứng dụng ví crypto, gợi ý về một tác nhân đe dọa có động cơ tài chính," Lookout cho biết. "Đáng chú ý, DarkSword dường như thực hiện phương pháp 'đánh nhanh rút gọn' bằng cách thu thập và exfiltrate dữ liệu được nhắm mục tiêu từ thiết bị trong vài giây hoặc tối đa vài phút, sau đó là dọn dẹp."
Các chuỗi exploit như Coruna và DarkSword được thiết kế để tạo điều kiện truy cập hoàn toàn vào thiết bị của nạn nhân mà không yêu cầu người dùng tương tác. Những phát hiện này một lần nữa cho thấy có một thị trường thứ cấp cho các exploit cho phép các nhóm đe dọa với nguồn lực hạn chế và mục tiêu không nhất thiết phải phù hợp với gián điệp mạng để có được các "exploit hàng đầu" và sử dụng chúng để lây nhiễm vào thiết bị di động.
"Việc sử dụng cả DarkSword và Coruna bởi nhiều tác nhân khác nhau cho thấy nguy cơ liên tục về sự phổ biến exploit giữa các tác nhân có địa lý và động cơ khác nhau," GTIG cho biết.
Chuỗi exploit liên quan đến bộ công cụ mới được phát hiện sử dụng sáu lỗ hổng khác nhau để triển khai ba payload, trong đó CVE-2026-20700, CVE-2025-43529 và CVE-2025-14174 đã bị exploit làm zero-days, trước khi được Apple vá:
Các lỗ hổng được DarkSword khai thác
- CVE-2025-31277 - Lỗ hổng Memory corruption trong JavaScriptCore (Đã vá trong phiên bản 18.6)
- CVE-2026-20700 - User-mode Pointer Authentication Code (PAC) bypass trong dyld (Đã vá trong phiên bản 26.3)
- CVE-2025-43529 - Lỗ hổng Memory corruption trong JavaScriptCore (Đã vá trong phiên bản 18.7.3 và 26.2)
- CVE-2025-14174 - Lỗ hổng Memory corruption trong ANGLE (Đã vá trong phiên bản 18.7.3 và 26.2)
- CVE-2025-43510 - Lỗ hổng Memory management trong iOS kernel (Đã vá trong phiên bản 18.7.2 và 26.1)
- CVE-2025-43520 - Lỗ hổng Memory corruption trong iOS kernel (Đã vá trong phiên bản 18.7.2 và 26.1)
Lookout cho biết họ đã phát hiện DarkSword sau khi phân tích hạ tầng độc hại liên quan đến UNC6353, xác định rằng một trong các domain bị xâm nhập đã lưu trữ một phần tử iFrame độc hại chịu trách nhiệm tải một JavaScript để fingerprint các thiết bị truy cập trang web và xác định xem mục tiêu có cần được chuyển hướng đến chuỗi exploit iOS hay không. Phương pháp chính xác mà các trang web bị lây nhiễm hiện vẫn chưa được biết.
Điều đáng chú ý là JavaScript này đặc biệt tìm kiếm các thiết bị iOS chạy phiên bản từ 18.4 đến 18.6.2, không giống như Coruna, vốn nhắm mục tiêu vào các phiên bản iOS cũ hơn từ 13.0 đến 17.2.1.
"DarkSword là một chuỗi exploit hoàn chỉnh và infostealer được viết bằng JavaScript," Lookout giải thích. "Nó tận dụng nhiều lỗ hổng để thiết lập privileged code execution nhằm truy cập thông tin nhạy cảm và exfiltrate khỏi thiết bị."
Cũng như với Coruna, chuỗi tấn công bắt đầu khi người dùng truy cập qua Safari một trang web nhúng iFrame chứa JavaScript. Khi được khởi chạy, DarkSword có khả năng phá vỡ các giới hạn của WebContent sandbox (hay còn gọi là tiến trình renderer của Safari) và tận dụng WebGPU để inject vào mediaplaybackd, một daemon hệ thống được Apple giới thiệu để xử lý các chức năng phát lại media.
Điều này, đến lượt nó, cho phép malware dataminer – được gọi là GHOSTBLADE – có quyền truy cập vào các tiến trình privileged và các phần hạn chế của hệ thống tệp. Sau khi privilege escalation thành công, một mô-đun orchestrator được sử dụng để tải các thành phần bổ sung được thiết kế để thu thập dữ liệu nhạy cảm, cũng như inject một payload exfiltration vào Springboard để hút thông tin đã chuẩn bị đến một máy chủ bên ngoài qua HTTP(S).
Điều này bao gồm email, tệp iCloud Drive, danh bạ, tin nhắn SMS, lịch sử duyệt web và cookie của Safari, dữ liệu ví và sàn giao dịch cryptocurrency, tên người dùng, mật khẩu, ảnh, lịch sử cuộc gọi, cấu hình và mật khẩu Wi-Fi, lịch sử vị trí, lịch, thông tin di động và SIM, danh sách ứng dụng đã cài đặt, dữ liệu từ các ứng dụng của Apple như Notes và Health, và lịch sử tin nhắn từ các ứng dụng như Telegram và WhatsApp.
iVerify, trong phân tích riêng về DarkSword, cho biết chuỗi exploit vũ khí hóa các lỗ hổng JavaScriptCore JIT trong tiến trình renderer của Safari (CVE-2025-31277 hoặc CVE-2025-43529) dựa trên phiên bản iOS để đạt được remote code execution thông qua CVE-2026-20700, và sau đó thoát khỏi sandbox thông qua tiến trình GPU bằng cách tận dụng CVE-2025-14174 và CVE-2025-43510.
Ở giai đoạn cuối, một lỗ hổng kernel privilege escalation (CVE-2025-43520) được tận dụng để có được khả năng arbitrary read/write và arbitrary function call bên trong mediaplaybackd, và cuối cùng thực thi mã JavaScript đã được inject.
"Malware này rất tinh vi và dường như là một nền tảng được thiết kế chuyên nghiệp cho phép phát triển nhanh chóng các mô-đun thông qua việc truy cập vào một ngôn ngữ lập trình cấp cao," Lookout cho biết. "Bước bổ sung này cho thấy nỗ lực đáng kể trong việc phát triển malware này với những suy nghĩ về khả năng bảo trì, phát triển lâu dài và khả năng mở rộng."
Phân tích sâu hơn các tệp JavaScript được sử dụng trong DarkSword đã tìm thấy các tham chiếu đến các phiên bản iOS 17.4.1 và 17.5.1, cho thấy bộ công cụ này đã được port từ một phiên bản trước đó nhắm mục tiêu vào các phiên bản hệ điều hành cũ hơn.
Một khía cạnh khác khiến DarkSword khác biệt so với các spyware khác là nó không dành cho việc giám sát và thu thập dữ liệu liên tục. Nói cách khác, một khi quá trình exfiltration dữ liệu hoàn tất, malware sẽ thực hiện các bước để làm sạch các tệp đã được dàn dựng và thoát. Mục tiêu cuối cùng, Lookout lưu ý, là giảm thiểu thời gian cư trú và exfiltrate dữ liệu mà nó xác định càng nhanh càng tốt.
Rất ít thông tin được biết về UNC6353, ngoài việc nhóm này sử dụng cả Coruna và DarkSword thông qua các cuộc tấn công watering hole trên các trang web Ukraine bị xâm nhập. Điều này cho thấy nhóm hack này có thể được tài trợ tốt để đảm bảo các chuỗi exploit iOS chất lượng cao, có khả năng được phát triển cho mục đích giám sát thương mại. UNC6353 được đánh giá là một tác nhân đe dọa kém tinh vi về mặt kỹ thuật, hoạt động với động cơ phù hợp với yêu cầu tình báo của Nga.
"Với việc cả Coruna và DarkSword đều có khả năng đánh cắp cryptocurrency và thu thập thông tin tình báo, chúng ta phải xem xét khả năng UNC6353 là một nhóm privateer được Nga hậu thuẫn hoặc một tác nhân đe dọa proxy tội phạm," Lookout cho biết.
"Việc thiếu hoàn toàn obfuscation trong mã DarkSword, thiếu obfuscation trong HTML cho các iFrame, và việc DarkSword File Receiver được thiết kế quá đơn giản và đặt tên quá rõ ràng khiến chúng tôi tin rằng UNC6353 có thể không có quyền truy cập vào các nguồn lực kỹ thuật mạnh mẽ hoặc, cách khác, không quan tâm đến việc thực hiện các biện pháp OPSEC thích hợp."
Việc sử dụng DarkSword cũng đã được liên kết với hai tác nhân đe dọa khác:
Các tác nhân đe dọa khác liên quan đến DarkSword
- UNC6748, đã nhắm mục tiêu vào người dùng Ả Rập Xê Út vào tháng 11 năm 2025 bằng cách sử dụng một trang web theo chủ đề Snapchat, snapshare[.]chat, đã tận dụng chuỗi exploit để phân phối GHOSTKNIFE, một JavaScript backdoor có khả năng đánh cắp thông tin.
- Hoạt động liên quan đến nhà cung cấp giám sát thương mại Thổ Nhĩ Kỳ PARS Defense đã sử dụng DarkSword vào tháng 11 năm 2025 để phân phối GHOSTSABER, một JavaScript backdoor giao tiếp với một máy chủ bên ngoài để tạo điều kiện liệt kê thiết bị và tài khoản, liệt kê tệp, exfiltration dữ liệu và thực thi mã JavaScript tùy ý.
Google cho biết việc UNC6353 sử dụng DarkSword vào tháng 12 năm 2025 chỉ hỗ trợ các phiên bản iOS từ 18.4 đến 18.6, trong khi việc sử dụng được gán cho UNC6748 và PARS Defense cũng nhắm mục tiêu vào các thiết bị iOS chạy phiên bản 18.7.
"Lần thứ hai trong một tháng, các tác nhân đe dọa đã sử dụng các cuộc tấn công watering hole để nhắm mục tiêu vào người dùng iPhone," iVerify cho biết. "Đáng chú ý, không cuộc tấn công nào trong số này được nhắm mục tiêu riêng lẻ. Các cuộc tấn công kết hợp hiện có khả năng ảnh hưởng đến hàng trăm triệu thiết bị chưa được vá chạy các phiên bản iOS từ 13 đến 18.6.2."
"Trong cả hai trường hợp, các công cụ được phát hiện do những thất bại đáng kể về operational security (op-sec) và sự bất cẩn trong việc triển khai các khả năng tấn công iOS. Những sự kiện gần đây đặt ra một số câu hỏi quan trọng: Thị trường cho các exploit 0-day và n-day iOS lớn và được trang bị tốt đến mức nào? Các khả năng mạnh mẽ như vậy dễ tiếp cận đến mức nào đối với các tác nhân có động cơ tài chính?"
