Nach Darstellung von Lookout wird der Angriff automatisch ausgelöst, sobald ein Opfer eine infizierte Seite aufruft. Die Angreifer erhalten dadurch tiefen Zugriff auf das Gerät und können E-Mails, Nachrichten, Fotos, Zugangsdaten sowie Daten aus Kryptowährungs-Wallets abgreifen. Neben dem Nachrichtenportal und der Gerichtswebseite identifizierten die Forscher im Februar zudem eine mögliche Infektion bei einem ukrainischen Lebensmittelverarbeiter.

Anders als klassische Spähkampagnen, die auf langfristige Überwachung ausgelegt sind, folgt DarkSword laut Lookout einem Modell des schnellen Zuschlagens und Rückzugs. Die Schadsoftware sammelt und schleust Daten oft innerhalb weniger Minuten aus und löscht sich danach selbst vom Gerät. Die Forscher bezeichnen die Software als hochentwickelt und offenbar professionell gestaltete Plattform, die auf modulare Weiterentwicklung und langfristigen Einsatz angelegt sei.

Die jüngste UNC6353-Kampagne verbindet Spionage mit finanziellen Motiven. Sie zielt auf eine breite Palette von Kryptowährungsplattformen, darunter Coinbase, Binance und Kraken, sowie auf verbreitete Wallets wie MetaMask und Ledger.

Angesichts der Fähigkeiten der Schadsoftware halten die Forscher es für möglich, dass die Angreifer Zugang zu hochwertigen Exploit-Werkzeugen haben, wie sie üblicherweise mit staatlichen Auftraggebern oder kommerziellen Überwachungsanbietern in Verbindung gebracht werden. Die Entdeckung von DarkSword und zuvor von Coruna deute auf einen Sekundärmarkt für fortgeschrittene Exploits hin, so Lookout – ein Markt, der es auch Akteuren mit geringeren Ressourcen ermögliche, anspruchsvolle Fähigkeiten zu erwerben und einzusetzen.

Trotz des fortschrittlichen Werkzeugkastens müssen die Angreifer selbst nicht zwingend hochversiert sein. Die Analysten verwiesen auf nur begrenzte Bemühungen, Teile der Operation zu verschleiern, und vermuten, dass die Gruppe auf zugekaufte Exploits und möglicherweise auf künstliche Intelligenz zur Entwicklung weiterer Schadkomponenten zurückgreift.

Laut einem ebenfalls am Mittwoch veröffentlichten Bericht von Google wurde DarkSword von verschiedenen Akteuren eingesetzt, um Nutzer in Saudi-Arabien, der Türkei und Malaysia anzugreifen. Apple schloss die in diesen Angriffen ausgenutzten Schwachstellen den Forschern zufolge Ende 2025, nachdem sie offengelegt worden waren.