Sicherheitsforscher der mobilen Sicherheitsfirma Lookout haben das neue Exploit-Kit „DarkSword” analysiert und decken dabei eine weitreichende Bedrohung für iPhone-Nutzer auf. Das Toolkit wird von mehreren Hacker-Gruppen weltweit eingesetzt und nutzt sechs CVE-Nummern aus: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 und CVE-2025-43520.
Die Angriffe richten sich gegen iPhones mit iOS 18.4 bis 18.7. Apple hat Sicherheitspatches für diese Schwachstellen bereits in iOS 26.3.1 bereitgestellt, doch viele Nutzer haben die Updates noch nicht eingespielt. Besonders brisant: Alle ausgebeuteten Sicherheitslücken (Sandbox-Escape, Privilege Escalation und Remote Code Execution) waren bereits bekannt oder dokumentiert — Apple hatte sie bereits in neueren iOS-Versionen geschlossen.
Die Angriffe beginnen typischerweise im Safari-Browser, wo Hacker-Code in manipulierten Websites eingeschleust wird. Das Kit nutzt dann eine Reihe von Exploits, um Kernel-Zugriff zu erlangen. Ein JavaScript-Orchester-Komponente (pe_main.js) injiziert dann Code in privilegierte iOS-Dienste wie Keychain, iCloud und die App-Zugriffsverwaltung. Dadurch können Daten aus Kryptowährungs-Wallets, Kreditkarten-Informationen, SMS-Nachrichten, Fotos und Standortdaten gestohlen werden.
Multiple Akteure nutzen DarkSword mit unterschiedlichen Zielen: Die türkische Firma PARS Defense setzt das Toolkit zu kommerziellen Überwachungszwecken ein. Die russische Gruppe UNC6353 nutzt DarkSword seit Dezember 2025 für Spionageoperationen gegen ukrainische Ziele und exfiltriert Daten durch sogenannte Watering-Hole-Attacken. Die Gruppe UNC6748 hat das Kit zudem gegen Nutzer in Saudi-Arabien eingesetzt, mit Phishing-Seiten, die Snapchat nachahmen.
Ein besonderes Merkmal von DarkSword ist die professionelle Codequalität: Forscher stellen fest, dass das Toolkit offenbar mit Unterstützung von KI-Sprachmodellen (Large Language Models) entwickelt wurde. Der Code enthält detaillierte Kommentare zur Funktionalität und zeigt klare Strukturen für langfristige Wartung und Erweiterbarkeit — Zeichen einer staatlichen oder gut finanzierten kriminellen Organisation.
Für deutsche Nutzer und Unternehmen ist das DarkSword-Kit eine ernsthafte Bedrohung, da solche Exploit-Kits typischerweise schnell global verbreitet werden. Apple empfiehlt, sofort auf iOS 26.3.1 zu aktualisieren und bei Hochrisiko-Nutzern den Lockdown Mode zu aktivieren. Nutzer älterer Geräte, die keine neusten iOS-Versionen unterstützen, sollten auf mögliche Sicherheits-Backports hoffen — wie Apple dies bei früheren Coruna-Exploits tat.