Lookout stieß auf DarkSword bei der Analyse bösartiger Infrastruktur, die mit UNC6353 verknüpft ist. Eine der kompromittierten Domains hostete demnach ein bösartiges iFrame-Element, das ein JavaScript lädt. Dieses ermittelt per Fingerprinting, welches Gerät die Seite besucht, und entscheidet, ob das Ziel in die iOS-Exploit-Kette geleitet wird. Wie die Webseiten infiziert werden, ist bislang unbekannt. Auffällig ist, dass das Skript gezielt nach iOS-Versionen zwischen 18.4 und 18.6.2 suchte – im Unterschied zu Coruna, das ältere Versionen von 13.0 bis 17.2.1 anvisierte.
Nach Darstellung von Lookout handelt es sich bei DarkSword um eine vollständige, in JavaScript geschriebene Exploit-Kette mit Infostealer-Funktion. Der Angriff beginnt, sobald ein Nutzer über Safari eine Seite mit dem eingebetteten iFrame öffnet. DarkSword durchbricht anschließend die WebContent-Sandbox – den Renderer-Prozess von Safari – und nutzt WebGPU, um sich in mediaplaybackd einzuklinken, einen Systemdienst von Apple für die Medienwiedergabe. Darüber erhält die als GHOSTBLADE bezeichnete Schadkomponente Zugriff auf privilegierte Prozesse und gesperrte Bereiche des Dateisystems. Ein Orchestrator-Modul lädt danach weitere Bausteine zur Datensammlung und injiziert eine Exfiltrations-Komponente in Springboard, die die zusammengeführten Daten über HTTP(S) an einen externen Server sendet.
Zu den abgegriffenen Daten zählen laut Lookout E-Mails, iCloud-Drive-Dateien, Kontakte, SMS, Safari-Verlauf und Cookies, Daten von Kryptowährungs-Wallets und -Börsen, Zugangsdaten, Fotos, Anrufverlauf, WLAN-Konfiguration und -Passwörter, Standortverlauf, Kalender, Mobilfunk- und SIM-Informationen, die Liste installierter Apps, Daten aus Apple-Apps wie Notizen und Health sowie Nachrichtenverläufe aus Telegram und WhatsApp.
Insgesamt nutzt die Kette sechs Schwachstellen, um drei Payloads zu platzieren. Davon wurden CVE-2026-20700, CVE-2025-43529 und CVE-2025-14174 als Zero-Days ausgenutzt, bevor Apple sie schloss. iVerify zufolge missbraucht die Kette je nach iOS-Version eine JavaScriptCore-JIT-Lücke im Safari-Renderer (CVE-2025-31277 oder CVE-2025-43529), erreicht über CVE-2026-20700 Remote-Code-Ausführung und entkommt der Sandbox über den GPU-Prozess mittels CVE-2025-14174 und CVE-2025-43510. In der letzten Stufe verschafft eine Kernel-Privilegieneskalation (CVE-2025-43520) beliebigen Lese- und Schreibzugriff sowie beliebige Funktionsaufrufe innerhalb von mediaplaybackd.
Lookout beschreibt die Malware als hochentwickelte, professionell konzipierte Plattform, die durch eine Hochsprache eine schnelle Modulentwicklung erlaubt. Verweise auf die Versionen iOS 17.4.1 und 17.5.1 in den JavaScript-Dateien deuten darauf hin, dass das Kit aus einer älteren, auf frühere Betriebssystemversionen ausgerichteten Variante portiert wurde. Anders als typische Spyware ist DarkSword nicht auf dauerhafte Überwachung ausgelegt: Nach der Exfiltration löscht es die zwischengespeicherten Dateien und beendet sich.
Über UNC6353 ist wenig bekannt, außer dem Einsatz von Coruna und DarkSword bei Watering-Hole-Angriffen auf kompromittierte ukrainische Webseiten. Lookout hält die Gruppe für technisch weniger versiert, aber vermutlich gut finanziert, und schließt nicht aus, dass es sich um eine von Russland gedeckte Freibeuter- oder kriminelle Stellvertretergruppe handelt – auch wegen der fehlenden Verschleierung im Code. Der Einsatz von DarkSword wird zudem mit zwei weiteren Akteuren, UNC6748 und PARS Defense, in Verbindung gebracht. Während die im Dezember 2025 beobachtete Nutzung durch UNC6353 nur iOS 18.4 bis 18.6 unterstützte, zielten die anderen Akteure laut Google auch auf iOS 18.7. iVerify weist darauf hin, dass beide jüngst entdeckten Kampagnen nicht auf einzelne Personen gerichtet waren und zusammengenommen wahrscheinlich hunderte Millionen ungepatchter Geräte mit iOS-Versionen von 13 bis 18.6.2 betreffen.
