Nach den Angaben von GTIG kombiniert DarkSword mehrere Schwachstellen und – je nach Angriff – drei verschiedene Schadsoftware-Familien, die das Team als Ghostblade, Ghostknife und Ghostsaber führt. Zu den ausgenutzten Lücken zählen die JavaScriptCore-Speicherfehler CVE-2025-31277 und CVE-2025-43529, ein Umgehen der Pointer-Authentication in dyld (CVE-2026-20700), ein ANGLE-Speicherfehler (CVE-2025-14174) sowie die iOS-Kernel-Schwachstellen CVE-2025-43510 und CVE-2025-43520. In ihren verschiedenen Stufen ermöglichen sie Remote-Code-Ausführung, das Ausbrechen aus der Sandbox und eine Rechteausweitung bis zur Auslieferung der Schadlast.

Für einen Angriff genügt es, dass ein verwundbarer Nutzer eine präparierte Website besucht: Mit einem Klick läuft die gesamte Kette ab, verschafft sich Kernel-Rechte und stiehlt sensible Daten. Der Vorgang dauert nur Sekunden bis Minuten, danach entfernt sich der Code wieder vom Gerät.

Besonders ungewöhnlich ist die Doppelnutzung. Lookout hebt hervor, dass DarkSword auch Kryptowährungs-Wallets abgreift. “Dieser doppelte Verwendungszweck ist ein wichtiger Hinweis auf die Motive des Akteurs und deutet darauf hin, dass er – oder möglicherweise ein früherer Nutzer von DarkSword, der das Werkzeug weitergegeben hat – mit einer Gewinnabsicht handelt”, heißt es im Bericht. Pete Luban, Field-CISO bei AttackIQ, sagt gegenüber Dark Reading, dass eine einmal offengelegte Kette durchaus für finanzielle Zwecke wiederverwendet werden könne; ungewöhnlicher sei, dass diese Doppelnutzung hier formell in den Ablauf integriert sei. Verteidiger müssten mobile Zero-Days wie Eindringwege auf Unternehmensniveau behandeln und Kontrollen fortlaufend prüfen, so Luban.

Google beschreibt eine Kampagne aus dem November 2025, bei der saudische Nutzer über eine gefälschte Website mit dem Versprechen eines sicheren Snapchat-Messengers angegriffen wurden. Ebenfalls im November beobachtete GTIG den Einsatz in der Türkei, verbunden mit dem türkischen Überwachungsanbieter PARS Defense; ein weiterer Kunde dieses Anbieters richtete DarkSword im Januar gegen malaysische Nutzer.

Zu den auffälligsten Akteuren gehört UNC6353, eine mutmaßlich russische Spionagegruppe, die zuvor auch den verwandten Coruna-Exploit nutzte und Watering-Hole-Angriffe gegen ukrainische Nutzer fuhr. Laut Lookout wurde die Exploit-Kette trotz des Spionagehintergrunds nicht verschleiert; eine “Analyse der Muster legt nahe, dass zumindest ein Teil des Implant-Codes mithilfe von LLMs erstellt wurde”. Das könne auf begrenzte Fähigkeiten hindeuten – oder der Code sei bereits vor dem Erwerb des Werkzeugs durch den Akteur hinzugefügt worden.

iVerify betont, dass sowohl Coruna als auch DarkSword durch erhebliche OPSEC-Fehler und Nachlässigkeit beim Einsatz offensiver iOS-Fähigkeiten entdeckt wurden. Mitgründer und COO Rocky Cole nennt dieses schwache Vorgehen “beispiellos für die 2020er-Jahre” und verweist darauf, dass schlechte OPSEC mitunter beim Einsatz geringwertiger Werkzeuge auftrete, wenn Akteure schnell handeln wollten – was angesichts der hier verwendeten n-Days der Fall sein könnte.

Alle Schwachstellen wurden durch Software-Updates geschlossen; iVerify rät zum Wechsel auf iOS 18.7.6 oder iOS 26.3.1 und nennt den Lockdown-Modus als Option. Dennoch könnten nach Schätzung des Unternehmens über 200 Millionen Nutzer weiter verwundbar sein. Matthias Frielingsdorf, Mitgründer und Forschungsleiter bei iVerify, sagt, der Anteil der Nutzer mit veralteten Systemen sei groß genug, um einen florierenden Sekundärmarkt für n-Day-Exploits zu tragen.