De Google Threat Intelligence Group (GTIG) heeft een nieuwe iOS-exploitketen geïdentificeerd, genaamd DarkSword, die meerdere zero-day kwetsbaarheden gebruikt om apparaten volledig te compromitteren. Sinds november 2025 wordt deze exploitketen door verschillende commerciële surveillancebedrijven en vermoedelijk door staatgesponsorde actoren ingezet in campagnes gericht op landen als Saoedi-Arabië, Turkije, Maleisië en Oekraïne.

DarkSword ondersteunt iOS-versies 18.4 tot en met 18.7 en maakt gebruik van zes verschillende kwetsbaarheden om de uiteindelijke malware te installeren. GTIG heeft drie malwarefamilies vastgesteld die na een succesvolle DarkSword-aanval worden ingezet: GHOSTBLADE, GHOSTKNIFE en GHOSTSABER. De verspreiding van deze exploitketen onder uiteenlopende dreigingsactoren vertoont overeenkomsten met het eerder ontdekte Coruna iOS-exploitkit. Zo heeft de vermoedelijke Russische spionagegroep UNC6353, die eerder Coruna gebruikte, recentelijk DarkSword toegevoegd aan hun watering hole-campagnes.

GTIG rapporteerde de kwetsbaarheden eind 2025 aan Apple, waarna deze met de release van iOS 26.3 zijn gepatcht, hoewel de meeste al eerder werden opgelost. Om gebruikers te beschermen zijn de betrokken domeinen toegevoegd aan Safe Browsing en wordt sterk aanbevolen om iOS-apparaten zo snel mogelijk te updaten. Wanneer een update niet mogelijk is, adviseert GTIG het inschakelen van de Lockdown-modus voor extra beveiliging. Dit onderzoek is uitgevoerd in samenwerking met de partners Lookout en iVerify.

Een voorbeeld van DarkSword-gebruik betreft de dreigingsgroep UNC6748, die in november 2025 Saoedische gebruikers via een Snapchat-achtige website aanviel. De site gebruikte geavanceerde obfuscatie en anti-debugging technieken om detectie te bemoeilijken. Tijdens het infectieproces werden slachtoffers omgeleid naar de legitieme Snapchat-website om de aanval te maskeren. De exploitketen laadde een remote code execution-exploit die de verdere malware-installatie mogelijk maakte.