MalwareHackerangriffeDatenschutz

DarkSword: Russland-verknüpfte Hacker nutzen iPhone-Exploit gegen ukrainische Nutzer

DarkSword: Russland-verknüpfte Hacker nutzen iPhone-Exploit gegen ukrainische Nutzer
Zusammenfassung

Russlandnahe Hacker haben eine hochentwickelte iPhone-Exploits eingesetzt, um gezielt ukrainische Nutzer ins Visier zu nehmen und sensible Daten zu stehlen. Die Malware namens DarkSword ermöglicht es Angreifern, in iPhones mit minimaler oder ohne Benutzerinteraktion einzudringen, Daten innerhalb von Minuten zu extrahieren und anschließend alle Spuren zu verwischen. Die Angriffe, die der Gruppe UNC6353 zugeordnet werden, liefen seit Ende 2025 und erfolgten primär über sogenannte Watering-Hole-Attacken auf kompromittierte ukrainische Websites, darunter ein Nachrichtenportal zur Kriegsberichterstattung und eine lokale Gerichtswebseite. Im Gegensatz zu konventionellen Spyware-Kampagnen folgt DarkSword einem „Hit-and-Run-Modell" und löscht sich nach dem schnellen Datendiebstahl selbst vom Gerät. Die Bedrohung geht über Spionage hinaus: Die Hacker visieren auch Kryptowährungs-Plattformen und digitale Geldbörsen an. Obwohl die Malware professionell entwickelt wurde, deutet vieles darauf hin, dass die Angreifer auf gekaufte Exploits und möglicherweise KI-gestützte Tools setzen. Google meldete, dass DarkSword auch gegen Nutzer in Saudi-Arabien, der Türkei und Malaysia eingesetzt wurde. Während die unmittelbare Bedrohung primär ukrainische Nutzer betrifft, zeigt dieser Fall die globale Verfügbarkeit fortgeschrittener Exploit-Tools und stellt ein wachsendes Risiko für Unternehmen und Behörden in Deutschland dar, die ebenfalls Ziel solcher professionellen Kampagnen werden könnten.

Die iOS-Malware DarkSword stellt eine neue Qualitätsstufe in der Cyber-Bedrohung dar. Laut den Lookout-Forschern handelt es sich um eine extrem ausgefeilte, professionell entwickelte Plattform, die modular aufgebaut ist und langfristig einsetzbar bleibt. Dies deutet darauf hin, dass die Entwickler Zugang zu hochwertigen Exploit-Tools haben, die normalerweise Regierungen oder kommerziellen Überwachungsanbietern vorbehalten sind.

Die Kampagne war mindestens seit Ende 2025 aktiv und setzte auf gezielten Zugriff ab. Über manipulierte ukrainische Websites wurden Nutzer infiziert – eine klassische Watering-Hole-Taktik. Das Besondere an DarkSword: Im Gegensatz zu typischen Spyware-Kampagnen, die auf Langzeitüberwachung ausgerichtet sind, arbeitet diese Malware nach einem “Hit-and-Run”-Modell. Sie sammelt Daten blitzschnell und löscht sich dann selbst vom Gerät – perfekt für eine schnelle Datenexfiltration.

Die Hackergruppe UNC6353 kombiniert dabei offenbar Spionage mit finanziellen Motiven. Das zeigt sich besonders deutlich bei der Ausrichtung auf Kryptowährungsplattformen wie Coinbase, Binance und Kraken sowie auf Wallet-Apps. Dies deutet darauf hin, dass die Angreifer nicht nur nachrichtendienstliche Ziele verfolgen, sondern auch finanzielle Gewinne anstreben.

Interessanterweise deuten die Analysten darauf hin, dass die Angreifer selbst möglicherweise nicht hochgradig sophistiziert sind. Sie scheinen auf gekaufte Exploits zu setzen und nutzen möglicherweise sogar KI für die Entwicklung zusätzlicher Malware-Komponenten. Dies ist ein besorgniserregendes Zeichen für einen wachsenden Schwarzmarkt für fortgeschrittene Exploits.

Google berichtete parallel, dass DarkSword auch gegen Nutzer in Saudi-Arabien, der Türkei und Malaysia eingesetzt wurde. Apple hat die ausgenutzte Schwachstelle Ende 2025 nach Offenlegung gepatcht. Dennoch bleiben Millionen von Nutzern mit älteren iOS-Versionen gefährdet. Deutsche iPhone-Besitzer sollten ihre Geräte auf die neueste iOS-Version aktualisieren und verdächtige Websites meiden – besonders wenn diese mit geopolitischen Konflikten oder Finanzthemen verbunden sind.

Ähnliche Artikel