Een nieuwe exploit kit voor Apple iOS-apparaten, genaamd DarkSword, wordt sinds november 2025 door meerdere dreigingsactoren ingezet om gevoelige gegevens te stelen. Dit blijkt uit rapporten van Google Threat Intelligence Group (GTIG), iVerify en Lookout. DarkSword is de tweede iOS exploit kit die binnen een maand is ontdekt, na Coruna, en richt zich op iPhones met iOS-versies tussen 18.4 en 18.7.

Volgens GTIG maken commerciële surveillancebedrijven en vermoedelijk door staten gesponsorde groepen gebruik van DarkSword in verschillende campagnes gericht op landen als Saoedi-Arabië, Turkije, Maleisië en Oekraïne. De exploit kit is onder meer ingezet door de vermoedelijke Russische spionagegroep UNC6353 in aanvallen op Oekraïense gebruikers. Deze groep gebruikte eerder ook de Coruna exploit kit door JavaScript-frameworks in gehackte websites te injecteren.

DarkSword is ontworpen om een breed scala aan persoonlijke informatie te verzamelen, waaronder inloggegevens, en richt zich specifiek op diverse crypto wallet-apps, wat wijst op een financieel gemotiveerde dreiging. De exploit kit werkt volgens Lookout volgens een 'hit-and-run'-methode waarbij data binnen enkele seconden of minuten wordt verzameld en geëxfiltreerd, gevolgd door het opruimen van sporen.

De exploitketen maakt gebruik van zes verschillende kwetsbaarheden om drie payloads te laden. Drie van deze kwetsbaarheden, CVE-2026-20700, CVE-2025-43529 en CVE-2025-14174, werden als zero-days misbruikt voordat Apple patches uitbracht. De overige kwetsbaarheden betroffen geheugen- en kernelproblemen die inmiddels zijn verholpen in iOS-versies 18.6 tot en met 26.3.

Lookout ontdekte DarkSword na analyse van kwaadaardige infrastructuur verbonden aan UNC6353. Hierbij werd een geïnfecteerd domein gevonden dat een kwaadaardig iFrame bevatte, verantwoordelijk voor het laden van JavaScript waarmee apparaten worden gefingerprinted en bepaald wordt of het slachtoffer wordt doorgestuurd naar de exploitketen. De infectiemethode van de websites is nog onbekend. Opvallend is dat DarkSword zich richt op nieuwere iOS-versies (18.4 tot 18.6.2), terwijl Coruna oudere versies aanviel.

DarkSword is een volledige exploitketen en infostealer geschreven in JavaScript die meerdere kwetsbaarheden benut om met verhoogde rechten code uit te voeren, gevoelige informatie te verzamelen en deze van het apparaat te exfiltreren. De aanval start wanneer een gebruiker via Safari een geïnfecteerde webpagina bezoekt die het kwaadaardige iFrame bevat.