Das von Lookout, iVerify und Google Threat Intelligence (GTIG) offengelegte DarkSword-Exploit-Kit stützt sich auf sechs Schwachstellen. Sie werden als CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 und CVE-2025-43520 geführt und betreffen iPhones mit iOS 18.4 bis 18.7.
Während iOS-Exploits typischerweise in hochgradig zielgerichteten Spyware-Kampagnen eingesetzt werden, kam dieses Kit deutlich breiter zum Einsatz. Genutzt wurde es unter anderem vom türkischen kommerziellen Überwachungsanbieter PARS Defense, von einem als UNC6748 verfolgten Akteur sowie von einer mutmaßlich russischen Spionagegruppe, die als UNC6353 geführt wird.
Bei diesen Angriffen beobachtete GTIG drei separate Schadsoftware-Familien zum Datendiebstahl auf den Geräten der Opfer: den aggressiven JavaScript-Infostealer GhostBlade, die Backdoor GhostKnife sowie die JavaScript-Malware GhostSaber, die Code ausführen und Daten stehlen kann.
Seit der Veröffentlichung von iOS 18.6 im Juli 2025 schloss Apple die Lücken nach und nach, sobald sie offengelegt wurden, und verteilte die Korrekturen an kompatible Geräte. Gegen Ende 2025 stellte Apple jedoch die Auslieferung von iOS-18-Updates für neuere Geräte ein, die bereits das aktuellere iOS 26 ausführen können.
Für Nutzer, die bei iOS 18 bleiben wollten, wurde der Zugang zu den Sicherheitsupdates dadurch eingeschränkt: Neuere Geräte erhielten keine Patches mehr für die 2026 veröffentlichten DarkSword-Schwachstellen. Zuletzt konnten nur noch wenige Geräte iOS-18-Updates beziehen; das letzte Update 18.7.6 wurde lediglich für iPhone XS, iPhone XS Max und iPhone XR angeboten.
Verschärft wurde die Situation dadurch, dass ein Forscher das DarkSword-Exploit-Kit kürzlich auf GitHub veröffentlichte und es damit weiteren Bedrohungsakteuren zugänglich machte, die ältere iPhones angreifen wollten.
Mit iOS 18.7.7 weitet Apple die Verfügbarkeit nun wieder aus. Zu den berechtigten Geräten zählen unter anderem iPhone XR, iPhone XS, iPhone XS Max, iPhone 11, iPhone SE (2. und 3. Generation), iPhone 12 bis iPhone 16 (jeweils alle Modelle) und iPhone 16e sowie mehrere iPad-mini-, iPad-, iPad-Air- und iPad-Pro-Modelle. Nutzer, die weiterhin iOS 18 mit aktivierten automatischen Updates verwenden, erhalten damit die neueste Version und den Schutz gegen das DarkSword-Exploit-Kit.
