Das Exploit-Kit DarkSword markiert eine neue Eskalationsstufe in der Bedrohungslandschaft für iOS-Geräte. Laut Analysen der Google Threat Intelligence Group (GTIG), iVerify und Lookout wurde die vollständige Exploit-Kette bereits in Kampagnen gegen Länder wie Saudi-Arabien, Türkei, Malaysia und Ukraine eingesetzt. Die Gruppe UNC6353, die von Sicherheitsexperten als russische Spionagegruppe eingestuft wird, nutzte DarkSword gezielt gegen ukrainische Nutzer durch sogenannte Watering-Hole-Angriffe auf kompromittierte Websites.
Was DarkSword besonders gefährlich macht, ist seine technische Raffinesse. Das JavaScript-basierte Toolkit nutzt insgesamt sechs verschiedene Schwachstellen zur Bereitstellung von drei Payloads. Drei dieser Lücken waren Zero-Days, bevor Apple sie patches: CVE-2026-20700, CVE-2025-43529 und CVE-2025-14174. Zusätzlich werden die CVE-2025-43510 und CVE-2025-43520 ausgenutzt. Der Angriffsablauf beginnt harmlos – ein Nutzer besucht via Safari eine Webseite mit einem versteckten iFrame, das JavaScript lädt. Von dort aus arbeitet sich die Malware durch mehrere Sicherheitsschichten: Sie bricht aus der Safari-Sandbox aus, nutzt WebGPU für die Injektion in mediaplaybackd, einen System-Daemon, und etabliert schließlich Privilegien auf Kernel-Ebene.
Einmal aktiviert, sammelt DarkSword ein erschreckendes Spektrum sensibler Daten: E-Mails, iCloud-Dateien, Kontakte, SMS, Safari-Verlauf, Cookies, Kryptowallet-Daten, Passwörter, Fotos, Anruflisten, WLAN-Konfigurationen, Standortverlauf, Kalender, SIM-Informationen und Nachrichtenhistorien aus Apps wie Telegram und WhatsApp. Das Besondere: DarkSword funktioniert nach dem “Hit-and-Run”-Prinzip. Die Malware sammelt ihre Ziele innerhalb von Sekunden bis Minuten und löscht dann alle Spuren – kein klassisches Spyware-Setup mit Dauernüberwachung.
Experten sind besorgt über die operative Sicherheit der Angreifer. Der Code enthält kaum Verschleierung, und die Infrastruktur wirkt schlecht konfiguriert. Das deutet darauf hin, dass UNC6353 möglicherweise begrenzte technische Ressourcen hat oder wenig Wert auf Geheimhaltung legt. Dies wirft ernsthafte Fragen auf: Wie groß ist der schwarzmarkt für iOS-Exploits? Wie zugänglich sind solche Werkzeuge für finanziell motivierte Akteure?
Zwei weitere Bedrohungsgruppen – UNC6748 und PARS Defense – nutzen DarkSword ebenfalls. Während UNC6353 iOS 18.4 bis 18.6 zielt, haben die anderen Akteure auch iOS 18.7 im Visier. Zusammengefasst könnte dies Hunderte Millionen Nutzer mit ungepatchten Geräten betreffen – vom iPhone 6 bis zu aktuellen Modellen mit älteren iOS-Versionen. Deutsche Nutzer sollten dringend ihre Geräte aktualisieren und keine verdächtigen Website-Links anklicken.