Beveiligingsonderzoekers hebben een nieuwe geavanceerde iOS-exploitkit ontdekt die zowel door staatsgesponsorde hackers als commerciële spywareleveranciers wordt gebruikt. De Russische groep UNC6353 maakt gebruik van deze exploitkit, genaamd DarkSword, in aanvallen op Oekraïne. Eerder werd al de exploitkit Coruna geïdentificeerd, die 23 kwetsbaarheden in iOS 13 tot 17.2.1 misbruikt, waaronder meerdere zero-days. Coruna werd ingezet in watering hole-aanvallen en later ook door financieel gemotiveerde groepen vanwege de mogelijkheden voor diefstal van cryptocurrency.

Onlangs deelden iVerify, Google en Lookout details over DarkSword, een tweede massale exploitkit voor iOS die eveneens door UNC6353 wordt gebruikt. DarkSword richt zich op zes kwetsbaarheden in het mobiele Apple-platform en kan een volledig apparaat overnemen met minimale gebruikersinteractie. De kit deelt infrastructuur met Coruna en werd eveneens ingezet in watering hole-aanvallen tegen Oekraïne, wat suggereert dat beide tools tot hetzelfde dreigingsarsenaal behoren. Daarnaast is vastgesteld dat DarkSword ook door commerciële surveillancebedrijven, waaronder een groep aangeduid als UNC6748, wordt gebruikt in aanvallen op Saoedi-Arabië, Turkije en Maleisië.

DarkSword is volledig in JavaScript geschreven en begint met het misbruiken van Safari-bugs om remote code execution te bereiken. Vervolgens ontsnapt het aan de sandbox en benut het kernelkwetsbaarheden om JavaScript-code te injecteren voor privilege-escalatie en het uitvoeren van de uiteindelijke payload. De aanvallen vonden plaats via kwaadaardige iframes op websites van het onafhankelijke nieuwsagentschap News of Donbas en de officiële site van het Zevende Administratieve Hof van Beroep in Vinnytsia.

De exploitketen maakt gebruik van zes specifieke kwetsbaarheden, waaronder CVE-2025-31277 en CVE-2026-20700, die leiden tot geheugenmanipulatie, sandbox-ontsnapping en kernelprivilege-escalatie. Diverse kwetsbaarheden zijn recentelijk gepatcht, waaronder een zero-day die in februari werd opgelost. De uiteindelijke payload fungeert als een orchestrator voor meerdere modules waarmee gevoelige gegevens van geïnfecteerde apparaten worden buitgemaakt. Dit omvat wachtwoorden, foto’s, berichten van WhatsApp en Telegram, contacten, belgeschiedenis, browserdata, geïnstalleerde apps, Wi-Fi-gegevens, Apple Health-data, agenda’s, notities, accountinformatie en cryptocurrency-wallets.

Volgens Lookout is deze malware zeer geavanceerd en professioneel ontwikkeld, met een platform dat snelle moduleontwikkeling mogelijk maakt via een hoog-niveau programmeertaal. De crypto-gerichte functionaliteiten wijzen erop dat de groep mogelijk ook financieel gemotiveerde diefstal nastreeft of dat deze exploitkit door verschillende actoren met uiteenlopende doelen wordt ingezet.