DarkSword nutzt sechs Schwachstellen aus, die unter den Kennungen CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 und CVE-2025-43520 geführt werden. Laut der Google Threat Intelligence Group ist das Kit seit mindestens November 2025 im Einsatz und wurde von mehreren Bedrohungsakteuren genutzt, die drei verschiedene Schadprogramm-Familien einsetzten.
Als erster Akteur, der die Exploit-Kette verwendete, beobachtete GTIG die Gruppe UNC6748: Sie griff Nutzer in Saudi-Arabien über eine Website an, die sich als Snapchat ausgab. Ende November 2025 kam DarkSword in der Türkei zum Einsatz, in Aktivitäten, die mit PARS Defense in Verbindung gebracht werden – einem türkischen kommerziellen Anbieter von Überwachungstechnik –, auf Geräten mit iOS 18.4 bis 18.7. Anders als bei UNC6748 sei diese Kampagne mit mehr Aufmerksamkeit für die operative Sicherheit durchgeführt worden, so GTIG: Der Exploit-Lader und Teile der Exploit-Stufen seien verschleiert worden, und zwischen Server und Opfer seien die Exploits mit ECDH und AES verschlüsselt übertragen worden. Bereits zuvor in diesem Jahr beobachteten Google-Forscher den Einsatz von DarkSword in Malaysia durch einen weiteren PARS-Defense-Kunden, der die Backdoor GHOSTSABER auslieferte.
Die mutmaßlich russische Spionagegruppe UNC6353 setzt das Coruna-Kit seit dem vergangenen Sommer ein und begann im Dezember 2025, DarkSword-Exploits gegen ukrainische Ziele zu verwenden. Diese Aktivität setzte sich bis März 2026 in Watering-Hole-Angriffen fort, bei denen kompromittierte Websites die Schadsoftware GHOSTBLADE ausspielten, um Daten von betroffenen Zielen abzuziehen. Auffällig ist laut Google, dass frühere DarkSword-Nutzung durch UNC6748 und PARS Defense auch iOS 18.7 unterstützte, dies bei UNC6353 jedoch trotz des späteren Zeitrahmens nicht beobachtet wurde.
Nach Einschätzung der Lookout-Forscher weisen sowohl Coruna als auch DarkSword Anzeichen einer Code-Erweiterung mit Unterstützung großer Sprachmodelle (LLM) auf. Besonders deutlich sei dies bei DarkSword, das zahlreiche Kommentare zur Erläuterung der Code-Funktionen enthält. Die Schadsoftware sei hochentwickelt und wirke wie eine professionell konzipierte Plattform, die über den Zugriff auf eine höhere Programmiersprache die rasche Entwicklung von Modulen ermögliche, so Lookout. Dieser zusätzliche Aufwand zeige, dass bei der Entwicklung auf Wartbarkeit, langfristige Weiterentwicklung und Erweiterbarkeit geachtet worden sei.
Die Angriffe beginnen im Safari-Browser, wo mehrere Exploits Lese- und Schreibzugriff auf den Kernel verschaffen; anschließend wird Code über eine zentrale Orchestrator-Komponente (pe_main.js) ausgeführt. Wie die auslösenden Websites ursprünglich kompromittiert wurden, ist unklar, doch verfügten die Angreifer über ausreichende Rechte, um bösartige iframes in den HTML-Code dieser Seiten einzuschleusen. Der Orchestrator schleust eine JavaScript-Engine in privilegierte iOS-Dienste wie App Access, Wi-Fi, Springboard, Keychain und iCloud ein und aktiviert dann datenstehlende Module wie GHOSTBLADE. Bemerkenswert ist, dass DarkSword nach der Datenübertragung temporäre Dateien löscht und sich beendet – ein Hinweis darauf, dass es nicht für langfristige Überwachung ausgelegt ist. iVerify fand zudem neben dem 1-Klick-Kit einen Safari-Exploit mit Sandbox-Ausbruch, Rechteausweitung und speicherresidenten Implantaten.
Lookout geht davon aus, dass DarkSword von einem russischen Akteur mit finanziellen Zielen genutzt wird, der zugleich Spionage im Sinne russischer Nachrichtendienstinteressen betreibt. iPhone-Nutzern wird empfohlen, auf iOS 26.3.1 zu aktualisieren und bei hohem Risiko den Lockdown-Modus zu aktivieren. Für ältere Geräte, die kein Update auf die neueste Version erhalten, könnte Apple Korrekturen zurückportieren, wie es bei den Coruna-Exploits geschah – bestätigt ist dies jedoch noch nicht.
