SchwachstellenHackerangriffeMalware

DarkSword: Neues iPhone-Exploit-Kit bedient Spione und Cyberkriminelle gleichermaßen

DarkSword: Neues iPhone-Exploit-Kit bedient Spione und Cyberkriminelle gleichermaßen
Zusammenfassung

Die Sicherheitsforscher von Google, iVerify und Lookout haben diese Woche eine kritische Bedrohung für iPhones aufgedeckt: DarkSword, eine Exploit-Kette, die mehrere Zero-Day-Schwachstellen in iOS 18.4 bis 18.7 ausnutzt. Das besonders Bemerkenswerte an DarkSword ist seine universelle Einsatzbarkeit – sowohl staatlich geförderte Spionage-Akteure als auch finanziell motivierte Cyberkriminelle nutzen das Arsenal, um weltweit Nutzer in Saudi-Arabien, der Türkei, Malaysia und der Ukraine seit November 2025 anzugreifen. Mit nur einem Klick auf eine manipulierte Website können Angreifer ein iPhone vollständig kompromittieren, Kernel-Privilegien erlangen und sensible Daten in Sekunden exfiltrieren. Was die Sicherheitscommunity besonders alarmiert, ist der Hybrid-Ansatz: Während Geheimdienste auf Spionage abzielen, haben andere Akteure damit begonnen, auch Kryptowallet-Daten zu stehlen. Für deutsche Nutzer, Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, zubesondere weil Sicherheitsexperten schätzen, dass über 200 Millionen iPhone-Nutzer noch anfällig sind. Viele Nutzer hierzulande haben aktuelle iOS-Updates noch nicht eingespielt, obwohl Patches seit iOS 18.7.6 zur Verfügung stehen. Dies unterstreicht ein fundamentales Sicherheitsproblem: Selbst in technologisch fortgeschrittenen Ländern bleibt die Update-Quote beunruhigend niedrig.

DarkSword funktioniert mit einer beachtlichen Einfachheit: Ein ahnungsloses Opfer besucht eine manipulierte Website, ein Klick genügt – und das iPhone ist vollständig kompromittiert. Der gesamte Exploit-Chain wird dabei in Sekunden bis Minuten ausgeführt, bevor sich die Malware selbst vom Gerät entfernt. Die Angreifer haben damit ein quasi-perfektes Werkzeug, das Spuren hinterlässt, ohne aufzufallen.

Technisch nutzt DarkSword sechs Sicherheitslücken, darunter die Zero-Day-Schwachstellen CVE-2025-31277 und CVE-2025-43529 im JavaScriptCore-Engine. Diese Lücken ermöglichen Remote Code Execution, Sandbox-Escape und schließlich Privilege Escalation bis zur Kernel-Ebene – einer vollständigen Kontrolle über das Gerät. Je nach Angriffsszenario werden die Malware-Familien Ghostblade, Ghostknife und Ghostsaber eingesetzt.

Was DarkSword von bisherigen Exploit-Kits unterscheidet, ist seine Multimodalität: Es dient nicht nur Geheimdiensten zur Überwachung, sondern auch Kriminellen zum Diebstahl von Kryptowährungen. Diese Integration beider Einsatzzwecke ist für die Sicherheitscommunity ein Warnsignal. Der Sicherheitsexperte Pete Luban warnt, dass Verteidiger Mobile-Zero-Days wie Enterprise-Intrusion-Pfade behandeln müssen – die etablierte Trennung zwischen “Spionage” und “Finanzverbrechen” ist überholt.

Besonders beunruhigend sind die Operational-Security-Mängel der Angreifer. Die verdächtigte russische Spionagegruppe UNC6353 verschleierte den Code nicht einmal richtig, und iVerify-Forscher entdeckten Hinweise auf den Einsatz von Large Language Models bei der Code-Generierung. Dies deutet entweder auf begrenzte Sofistikation trotz hoher Finanzierung hin oder darauf, dass Code von Vorbesitzern stammt.

Google hat bereits Patches bereitgestellt: iOS 18.7.6 und iOS 26.3.1 schließen die Lücken. Doch iVerify schätzt, dass über 200 Millionen Nutzer immer noch verwundbar sind – weil sie ihre Geräte nicht aktualisieren. Dies offenbart eine fundamentale Schwachstelle: Selbst automatische Update-Systeme schützen nicht, wenn Nutzer ihre Geräte nicht aktualisieren. Matthias Frielingsdorf von iVerify betont, dass eine “große Zahl von Nutzern” noch auf älteren iOS-Versionen läuft, was einen sekundären Markt für N-Day-Exploits befeuert.

Deutsche Nutzer sollten sofort zu iOS 18.7.6 aktualisieren und erwägen, den Lockdown-Modus zu aktivieren – eine Apple-Funktion für Hochrisiko-Nutzer, die zusätzliche Sicherheit bietet.

Ähnliche Artikel