Новый комплексный эксплойт DarkSword атакует iPhone: шесть уязвимостей нулевого дня в iOS использованы коммерческими шпионскими компаниями и государственными хакерами

Аналитики описали несколько параллельных кампаний, которые велись с ноября 2025 года. В частности, кластер под условным обозначением UNC6748 использовал поддельный сайт, стилизованный под Snapchat (snapshare[.]chat), для таргетирования жителей Саудовской Аравии. Механизм заражения был построен на веб-технологиях: жертва, посетившая сайт, загружала серию скрытых фреймов и JavaScript-кода, которые в конечном итоге загружали эксплойты для удалённого выполнения кода (RCE). Интересно, что в коде злоумышленников наблюдались логические ошибки, например, некорректная проверка версий iOS, что может указывать на поспешную интеграцию или использование устаревших компонентов.

После успешного взлома устройства развёртывалась одна из трёх вредоносных семейств - GHOSTKNIFE, GHOSTSABER или GHOSTBLADE, различающихся по функционалу. GHOSTKNIFE, обнаруженный в кампании UNC6748, представляет собой полноценный бэкдор на JavaScript, способный похищать аккаунты, сообщения, историю браузера и местоположения, делать скриншоты и записывать звук с микрофона. Программа также старается скрыть следы, удаляя логи аварийных завершений системы. В свою очередь, турецкий коммерческий вендор PARS Defense использовал более изощрённую версию цепочки с шифрованием этапов загрузки и применял бэкдор GHOSTSABER. Этот вредоносный код может выполнять произвольные SQL-запросы к локальным базам данных, выгружать файлы приложений и списки контактов, а также исполнять произвольный JavaScript, полученный с сервера управления.

Отдельного внимания заслуживает активность группы UNC6353, которую связывают с российскими интересами и ранее наблюдали за использованием другого эксплойта Coruna. С декабря 2025 года эта группа развернула новую кампанию с использованием DarkSword против украинских пользователей, внедряя вредоносный код на легитимные веб-сайты (атака типа "водопой"). Финальной полезной нагрузкой в этом случае выступал GHOSTBLADE - скорее сборщик данных (dataminer), чем интерактивный бэкдор. Он целенаправленно выкачивает огромный массив информации: от переписки в iMessage, Telegram и WhatsApp до истории местоположений, данных кошельков криптовалют и системных ключей (keychain). Все уязвимости, использованные в DarkSword, были вовремя сообщены Google компании Apple и закрыты в обновлениях iOS, вплоть до версии 26.3.

Технический анализ цепочки DarkSword выявил её сложную модульную структуру. Для достижения удалённого выполнения кода использовались две разные уязвимости в движке JavaScriptCore (CVE-2025-31277 и CVE-2025-43529). Далее, для обхода защитных механизмов пользовательского режима, таких как Pointer Authentication Codes (PAC, механизм проверки целостности указателей), применялась уязвимость в dyld (CVE-2026-20700). Последующие этапы включали два последовательных побега из песочницы (sandbox escape): первый - из изолированного процесса WebContent в GPU-процесс Safari с помощью уязвимости в компоненте ANGLE (CVE-2025-14174), второй - из GPU-процесса в более привилегированный системный сервис mediaplaybackd через ошибку в ядре XNU (CVE-2025-43510). Финальный этап повышения привилегий до уровня ядра осуществлялся благодаря уязвимости-состоянию гонки (race condition) в подсистеме виртуальной файловой системы ядра iOS (CVE-2025-43520). Примечательно, что вся цепочка, включая финальные полезные нагрузки, была написана на JavaScript, что позволило авторам обойти необходимость взламывать дополнительные механизмы защиты, такие как PPL (Page Protection Layer), которые препятствуют выполнению неподписанного бинарного кода.

Появление DarkSword, вслед за ранее обнаруженным Coruna, наглядно демонстрирует тревожную проблему рынка коммерческого шпионажа: мощные и дорогие эксплойты, разработанные одними группами, рано или поздно попадают в руки других акторов с разными целями и уровнем профессионализма. Это значительно расширяет круг потенциальных жертв и усложняет глобальную кибербезопасность. Ключевая рекомендация для всех пользователей iPhone остаётся неизменной: немедленно установить последнюю доступную версию iOS. В случаях, когда обновление невозможно (например, для устаревших устройств), следует активировать строгий "Режим блокировки" (Lockdown Mode), который резко ограничивает возможности подобных сложных веб-эксплойтов. Для организаций, чьи сотрудники могут стать целью целенаправленных атак, критически важен мониторинг трафика на предмет связей с известными вредоносными доменами, а также применение сегментации сети и решений класса EDR для выявления аномальной активности на устройствах.

IPv4

• 62.72.21.10
• 72.60.98.48

Domains

• e5.malaymoil.com
• sahibndn.io
• snapshare.chat
• sqwas.shapelie.com
• static.cdncounter.net

SHA256

• 2e5a56beb63f21d9347310412ae6efb29fd3db2d3a3fc0798865a29a3c578d35