DarkSword wurde von Sicherheitsforschern mit mehreren Bedrohungsgruppen in Verbindung gebracht. Dazu zählen UNC6748, ein Kunde des türkischen kommerziellen Überwachungsanbieters PARS Defense, sowie die mutmaßlich russische Spionagegruppe UNC6353.
Bei den beobachteten Angriffen brachte die GTIG drei unterschiedliche Schadprogramm-Familien zum Datendiebstahl auf den Geräten der Opfer aus: einen aggressiven JavaScript-Infostealer namens GhostBlade, die Backdoor GhostKnife, die große Datenmengen exfiltrieren kann, sowie das JavaScript GhostSaber, das Code ausführt und ebenfalls Daten der Opfer entwendet.
UNC6353 setzte sowohl DarkSword als auch das iOS-Exploit-Kit Coruna in Watering-Hole-Angriffen ein. Ziel waren iPhone-Nutzer, die kompromittierte ukrainische Websites von Unternehmen aus dem E-Commerce, dem Bereich Industrieausrüstung und lokalen Dienstleistungen besuchten.
Bemerkenswert ist, dass DarkSword nach dem Diebstahl der Daten temporäre Dateien löscht und sich beendet. Das deutet darauf hin, dass das Kit für kurzfristige Überwachungsoperationen ausgelegt ist und einer Entdeckung entgehen soll.
Das auf mobile Sicherheit spezialisierte Unternehmen Lookout entdeckte DarkSword bei der Untersuchung der für die Coruna-Angriffe genutzten Infrastruktur. Nach Einschätzung von Lookout kommt DarkSword in Cyberspionage-Kampagnen zum Einsatz, die sich an russischen Geheimdienstinteressen orientieren, sowie durch einen russischen Bedrohungsakteur mit finanziellen Zielen.
CISA fügte drei der sechs DarkSword-Schwachstellen seinem Katalog aktiv ausgenutzter Sicherheitslücken hinzu und setzte den FCEB-Behörden eine Frist bis zum 3. April. „Wenden Sie die Gegenmaßnahmen gemäß den Anweisungen des Herstellers an, befolgen Sie die einschlägigen Vorgaben der BOD 22-01 für Cloud-Dienste oder stellen Sie die Nutzung des Produkts ein, wenn keine Gegenmaßnahmen verfügbar sind", erklärte die Behörde. Solche Schwachstellen seien ein häufiger Angriffsvektor für böswillige Akteure und stellten ein erhebliches Risiko für die Bundesverwaltung dar.
Obwohl die BOD 22-01 nur für Bundesbehörden gilt, rief CISA alle Verteidiger, auch jene in privatwirtschaftlichen Unternehmen, dazu auf, die Absicherung ihrer Geräte gegen diese Lücken so schnell wie möglich vorrangig zu behandeln.
