Die jüngste Aktivität, auf die Proofpoint und Malfors hinweisen, stützt sich auf gefälschte E-Mails mit angeblichen “Diskussionseinladungen”, die den Atlantic Council imitieren. Über diese Nachrichten wird mithilfe des DarkSword-Kits die Datensammler-Malware GHOSTBLADE ausgeliefert. Die E-Mails wurden am 26. März 2026 von kompromittierten Absendern verschickt. Zu den Empfängern zählte Leonid Wolkow, ein prominenter russischer Oppositionspolitiker und politischer Direktor der Anti-Korruptions-Stiftung.

Eine automatisierte Analyse durch die Sicherheitswerkzeuge von Proofpoint wurde nach Unternehmensangaben auf ein harmloses Köder-PDF umgeleitet – vermutlich aufgrund einer serverseitigen Filterung, die ausschließlich iPhone-Browser zum Exploit-Kit führen sollte.

“Wir haben bislang nicht beobachtet, dass TA446 iCloud-Konten oder Apple-Geräte angreift, doch der Einsatz des geleakten DarkSword-iOS-Exploit-Kits versetzt den Akteur nun in die Lage, iOS-Geräte ins Visier zu nehmen”, erklärte Proofpoint. Das Unternehmen merkte zudem an, dass das E-Mail-Aufkommen der Gruppe in den vergangenen zwei Wochen “deutlich höher” gewesen sei; diese Angriffe führten über passwortgeschützte ZIP-Dateien zum Einsatz einer bekannten Backdoor namens MAYBEROBOT.

Den Einsatz von DarkSword stützt auch der Umstand, dass ein bei VirusTotal hochgeladener DarkSword-Loader auf “escofiringbijou[.]com” verweist – eine Second-Stage-Domain, die dem Akteur zugeordnet wird. Ein Ergebnis von urlscan[.]io zeigt, dass die von TA446 kontrollierte Domain das DarkSword-Kit ausgeliefert hat, einschließlich des anfänglichen Umleiters, des Exploit-Loaders, der Komponente für Remote-Code-Ausführung und einer Umgehung des Pointer Authentication Code (PAC). Hinweise auf ausgelieferte Sandbox-Ausbrüche gibt es jedoch nicht.

Proofpoint vermutet, dass TA446 das DarkSword-Kit für das Abgreifen von Zugangsdaten und die Informationsbeschaffung umfunktioniert. Da die beobachtete Zielauswahl “viel breiter als üblich” ausfiel, hält das Unternehmen es für möglich, dass die Gruppe die neue Fähigkeit im Rahmen einer opportunistischen Kampagne gegen ein größeres Zielspektrum nutzt.

Parallel hat Apple damit begonnen, auf iPhones und iPads mit älteren iOS- und iPadOS-Versionen Sperrbildschirm-Hinweise auszuspielen, die Nutzer vor webbasierten Angriffen warnen und zur Installation des Updates auffordern. Dieser ungewöhnliche Schritt deutet darauf hin, dass der Konzern die Bedrohung als breit genug einstuft, um sofortige Aufmerksamkeit der Nutzer zu erfordern.

Apples Warnung fällt mit dem Leak einer neuen DarkSword-Version auf GitHub zusammen, was die Sorge nährt, dass damit der Zugang zu staatlich entwickelten Exploits demokratisiert werden könnte. Justin Albrecht, leitender Forscher bei Lookout, erklärte, die geleakte, sofort einsatzbereite Version erlaube selbst ungeübten Angreifern, das fortgeschrittene iOS-Spionage-Kit einzusetzen, und mache es so zu Massenware. “DarkSword widerlegt die verbreitete Annahme, iPhones seien gegen Cyberbedrohungen immun und fortgeschrittene mobile Angriffe richteten sich nur gezielt gegen Regierungen und hochrangige Amtsträger”, so Albrecht.