Vollständig in JavaScript geschrieben, beginnt DarkSword mit der Ausnutzung von Safari-Schwachstellen, um Remotecodeausführung zu erreichen. Danach folgt ein Ausbruch aus der Sandbox, und schließlich werden Kernel-Fehler ausgenutzt, um JavaScript-Code für die Rechteausweitung und die Ausführung der finalen Nutzlast einzuschleusen und zu starten.

Die beobachteten Angriffe liefen über schädliche iframes, die in die Websites der unabhängigen Nachrichtenagentur News of Donbas und des offiziellen Auftritts des Siebten Verwaltungsberufungsgerichts in Winnyzja eingeschleust wurden. Angegriffen werden die Schwachstellen CVE-2025-31277, CVE-2025-43529, CVE-2025-14174, CVE-2025-43510, CVE-2025-43520 und CVE-2026-20700.

CVE-2025-31277 und CVE-2025-43529 sind zwei JIT-Fehler im WebContent-Prozess, die beliebiges Lesen und Schreiben im Speicher ermöglichen und in der Anfangsphase ausgenutzt werden. Anschließend zielt das Kit auf CVE-2026-20700, um die Schutzmechanismen Trusted Path Read-Only (TPRO) und Pointer Authentication Codes (PAC) zu umgehen — diese Lücke wurde im Februar als Zero-Day gepatcht. CVE-2025-14174, eine Out-of-Bounds-Schreibschwachstelle in ANGLE, dient in Kombination mit der PAC-Umgehung dem Ausbruch aus der Safari-Sandbox über den GPU-Prozess. CVE-2025-43529 und CVE-2025-14174 wurden im Dezember behoben. Vom GPU-Prozess aus greift die Kette über CVE-2025-43510 den XNU-Kernel an und nutzt das so gewonnene Lesen und Schreiben im Speicher, um über CVE-2025-43520 die Kernel-Rechte auszuweiten.

Die finale Nutzlast ist laut Lookout ein Orchestrator für zahlreiche Module, mit denen die Angreifer sensible Daten abziehen: Passwörter, Fotos, WhatsApp- und Telegram-Nachrichten, SMS, Kontakte, Anrufverlauf, Browserdaten, installierte Apps, WLAN-Daten, Apple-Health-Daten, Kalender und Notizen, Informationen zu verknüpften Konten sowie Kryptowährungs-Wallets. Lookout bezeichnet die Schadsoftware als hochentwickelte, professionell konzipierte Plattform, die durch eine Hochsprache eine schnelle Modulentwicklung erlaube und auf Wartbarkeit, Langzeitentwicklung und Erweiterbarkeit ausgelegt sei.

Dass DarkSword anders als das frühere Coruna auch Krypto-Wallets ins Visier nimmt, deutet laut Lookout darauf hin, dass UNC6353 seine Fähigkeiten auf Finanzdiebstahl ausgeweitet hat — oder von Anfang an finanziell motiviert war.

Apple hat alle von Coruna und DarkSword genutzten Schwachstellen gepatcht, doch iVerify warnt vor weiterhin gefährdeten Geräten. Demnach betrifft die DarkSword-Kette schätzungsweise 14,2 Prozent der Nutzer (rund 221.520.000 Geräte) mit iOS 18.4 bis 18.6.2; unter der Annahme, dass alle iOS-18-Versionen für die Mehrzahl der Lücken anfällig sind, könnten rund 18,99 Prozent (296.244.000) betroffen sein. Nutzern wird empfohlen, auf iOS 26.3.1 beziehungsweise 18.7.6 zu aktualisieren, die alle Lücken schließen.

Google identifizierte über fünf Monate drei in erfolgreichen Angriffen abgelegte Nutzlasten: GhostBlade, GhostKnife und GhostSaber. UNC6748 setzte DarkSword im November 2025 gegen Nutzer in Saudi-Arabien über eine Snapchat-Website ein (Nutzlast GhostKnife). Der kommerzielle Überwachungsanbieter PARS Defense griff Ende November Nutzer in der Türkei und im Januar 2025 in Malaysia an, jeweils mit GhostSaber. Die UNC6353-Angriffe gegen die Ukraine begannen im Dezember 2025 mit GhostBlade, das Daten stiehlt, aber keine Backdoor-Funktionen besitzt. Laut Google bauten alle Akteure ihre Auslieferungsmechanismen auf einer gemeinsamen Logik der DarkSword-Entwickler auf und passten sie an eigene Bedürfnisse an; während UNC6353 nur iOS 18.4–18.6 angriff, zielten UNC6748 und PARS Defense auch auf iOS 18.7.