Apple hatte iOS 18.7.7 und iPadOS 18.7.7 zunächst am 24. März 2026 veröffentlicht, allerdings nur für iPhone XS, iPhone XS Max, iPhone XR und das iPad der 7. Generation. Mit der Ausweitung sollen nun jene Geräte erreicht werden, die zwar auf iOS 26 aktualisiert werden könnten, aber noch ältere Versionen nutzen. Bereits im Vormonat hatte das Unternehmen Nutzer aufgefordert, ältere Geräte auf iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 und iPadOS 16.7.15 zu aktualisieren, um einen Teil der bei DarkSword sowie bei einem weiteren Exploit-Kit namens Coruna genutzten Schwachstellen zu schließen.

Gegenüber WIRED erklärte ein Apple-Sprecher, man weite das Update auf mehr Geräte aus, um deren Schutz zu verbessern. Nutzer ohne aktivierte automatische Updates können wählen, ob sie auf die gepatchte Version von iOS 18 oder auf iOS 26 wechseln. Dass Apple iOS-18-Nutzern erlaubt, zu patchen, ohne auf die neueste Version umsteigen zu müssen, gilt als ungewöhnliche Abkehr von der bisherigen Praxis — auch wenn der Konzern je nach Schwere von Schwachstellen Korrekturen für ältere Geräte zurückportiert.

Der Schritt folgt wenige Wochen, nachdem GTIG, iVerify und Lookout Einzelheiten zu DarkSword veröffentlicht hatten. Der Angriff wird ausgelöst, wenn ein Nutzer mit einem anfälligen Gerät eine legitime, aber kompromittierte Website besucht, auf der der Schadcode im Rahmen eines sogenannten Watering-Hole-Angriffs eingebettet ist. Nach dem Start setzen die Angriffe Backdoors sowie ein Datensammel-Werkzeug für dauerhaften Zugriff und Informationsdiebstahl ein.

Wie das fortgeschrittene Angriffswerkzeug unter mehrere Bedrohungsakteure gelangte, ist bislang unklar. Eine neuere Version des Kits wurde inzwischen auf der Code-Plattform GitHub geleakt, was die Sorge nährt, dass weitere Akteure auf den Zug aufspringen könnten. Der Fund zeigt zudem, dass leistungsfähige Spyware für iPhones womöglich weniger selten ist als bisher angenommen und zum Werkzeug für Massenangriffe werden könnte.

Seit der vergangenen Woche blendet Apple auf iPhones und iPads mit älteren iOS- und iPadOS-Versionen Hinweise auf dem Sperrbildschirm ein, um Nutzer vor webbasierten Angriffen zu warnen und zur Installation der neuesten Updates aufzufordern.

Proofpoint und Malfors berichteten zudem, dass der mit Russland in Verbindung gebrachte Bedrohungsakteur COLDRIVER (auch TA446) das DarkSword-Kit genutzt habe, um die Schadsoftware GHOSTBLADE zum Datendiebstahl auszuliefern — bei Angriffen auf Einrichtungen aus den Bereichen Regierung, Denkfabriken, Hochschulbildung, Finanzwesen und Recht.

„DarkSword stiehlt im Stillen riesige Mengen an Nutzerdaten, nur weil der Nutzer eine echte, aber kompromittierte Website besucht hat", sagte Rocky Cole, Mitgründer und COO von iVerify, gegenüber The Hacker News. Apple stimme damit zumindest der Einschätzung der Sicherheitsbranche zu, dass dies eine klare und akute Gefahr für ungepatchte Geräte auf früheren iOS-Versionen darstelle — rund 20 Prozent der Nutzer seien noch auf solchen Versionen unterwegs. Diese Nutzer schutzlos zu lassen, wäre schwer zu rechtfertigen, so Cole, gerade für ein Unternehmen, das seine Marke auf Sicherheit und Datenschutz ausrichte.