De Cybersecurity and Infrastructure Security Agency (CISA) heeft Amerikaanse overheidsinstanties opgedragen om drie kwetsbaarheden in iOS te patchen die werden misbruikt in aanvallen met het DarkSword exploit kit. Deze kwetsbaarheden werden ingezet bij diefstal van cryptovaluta en cyberspionageactiviteiten.

Onderzoekers van Google Threat Intelligence Group (GTIG) en iVerify onthulden dat DarkSword een keten van zes kwetsbaarheden gebruikt, waaronder CVE-2025-31277, CVE-2025-43510 en CVE-2025-43520. Deze fouten maken het mogelijk om sandbox-beperkingen te omzeilen, privileges te escaleren en op afstand code uit te voeren op niet-gepatchte iPhones. Apple heeft deze kwetsbaarheden inmiddels opgelost in de nieuwste iOS-versies, waardoor alleen iPhones met iOS 18.4 tot en met 18.7 nog kwetsbaar zijn.

DarkSword is gelinkt aan meerdere dreigingsgroepen, waaronder UNC6748, een klant van de Turkse commerciële surveillanceleverancier PARS Defense, en de vermoedelijke Russische spionagegroep UNC6353. GTIG observeerde dat deze groepen verschillende malwarefamilies inzetten, zoals de agressieve JavaScript-infostealer GhostBlade, de backdoor GhostKnife die grote hoeveelheden data kan exfiltreren, en de GhostSaber JavaScript die code uitvoert en data steelt. UNC6353 gebruikte zowel DarkSword als het Coruna exploit kit in watering-hole aanvallen op iPhone-gebruikers die Oekraïense websites van e-commerce, industriële apparatuur en lokale diensten bezochten.

DarkSword wist tijdelijke bestanden en sluit na het stelen van data, wat wijst op kortdurende surveillanceoperaties om detectie te vermijden. Beveiligingsbedrijf Lookout, dat DarkSword ontdekte tijdens onderzoek naar Coruna-aanvallen, vermoedt dat DarkSword wordt ingezet in cyberspionagecampagnes die aansluiten bij Russische inlichtingenbehoeften en door een Russische dreigingsactor met financiële motieven.

Op vrijdag voegde CISA drie van de zes DarkSword-kwetsbaarheden toe aan de lijst van actief misbruikte beveiligingslekken en gaf het federale agentschappen twee weken de tijd om hun systemen te beveiligen, uiterlijk 3 april, conform Binding Operational Directive 22-01. CISA adviseert mitigaties toe te passen volgens de instructies van leveranciers, de richtlijnen voor cloudservices te volgen of het product niet meer te gebruiken als mitigaties ontbreken. Hoewel de richtlijn alleen voor federale instanties geldt, roept CISA ook andere organisaties op om hun systemen zo snel mogelijk te beschermen tegen deze kwetsbaarheden.