DarkSword: Хакери атакуват милиони iPhone с новия шпионски софтуер

Изследователи от Google, iVerify и Lookout разкриха опасен exploit kit- DarkSword, засягащ между 220 и 270 милиона Apple устройства. Зад атаките стоят руски държавни актьори и търговски доставчици на шпионски инструменти.

Ако използвате iOS 18.4 до 18.6.2 и не сте инсталирали последните обновления, устройството ви може да е уязвимо. Актуализирайте незабавно до iOS 26.3.1 или по-нова версия.

Два пъти в рамките на един месец изследователи по киберсигурност разтревожиха Apple екосистемата с открития, които поставят под въпрос популярното убеждение, че iPhone е „недостижим“ за хакерите. На 18 март 2026 г. три от най-авторитетните компании в сектора – Google Threat Intelligence Group (GTIG), iVerify и Lookout – публикуваха координиран анализ на нов и изключително опасен шпионски инструмент, наречен DarkSword.

Находката идва само две седмици след разкриването на Coruna – първият масов exploit kit за iOS, засегнал 23 уязвимости. DarkSword не е просто поредна заплаха. Той е второто звено от верига атаки, зад която стоят добре финансирани и добре свързани хакерски групи с двойни мотиви: шпионаж и финансова печалба.

Какво е DarkSword и как работи?

DarkSword е т.нар. exploit kit – пакет от инструменти за атака, написан изцяло на JavaScript. За разлика от много зловредни програми, той не изисква потребителят да инсталира нещо. Достатъчно е посещение на заразен уебсайт, за да бъде компрометирано устройството – атака, позната в жаргона като watering hole.

Изследователите от iVerify и Lookout установиха, че зловредният код е бил вграден в десетки украински уебсайта, включително в независимата новинарска агенция News of Donbas и официалния сайт на Седми административен апелативен съд в Киев. При зареждане на страницата, скрит iframe задействал цялата верига от атаки – незабележимо за жертвата.

Атаката е насочена срещу устройства с iOS 18.4 до 18.7 – версии, пуснати между март и август 2025 г. Exploit kit​ът изпълнява четири последователни фази:

1. Отдалечено изпълнение на код (RCE)– чрез уязвимости в Safari браузъра и JavaScriptCore двигателя, хакерите получават начален достъп до устройството.
2. Заобикаляне на защитите– системите TPRO (Trusted Path Read-Only) и PAC (Pointer Authentication Codes) са неутрализирани.
3. Ескалация на привилегии– чрез уязвимости в ядрото на iOS, атаката достига пълен системен контрол.
4. Ексфилтрация на данни– три зловредни фамилии с кодово название Ghost крадат всичко ценно от устройството.

„Този зловреден код е силно усъвършенстван и изглежда като професионално проектирана платформа, позволяваща бързо разработване на модули чрез достъп до език за програмиране от високо ниво.“— Lookout Security Research

Шестте уязвимости, които правят DarkSword толкова опасен

Силата на DarkSword се крие в комбинирането на шест различни уязвимости в iOS – подход, наречен exploit chain. Всички шест са вече кръпнати от Apple, но устройствата без актуализации остават изложени на риск:

CVE-2025-31277JIT type confusion в JavaScriptCore

CVE-2025-43529Garbage collection bug в DFG JIT

CVE-2026-20700PAC bypass в dyld

CVE-2025-14174Sandbox escape уязвимост

CVE-2025-43510Kernel privilege escalation

CVE-2025-43520Kernel privilege escalation

Google е докладвал тези уязвимости на Apple в края на 2025 г. Повечето са закърпени с отделни обновления, а всички шест са затворени с пускането на iOS 26.3. Въпреки това, много потребители все още не са инсталирали обновленията – и именно те са основната цел.

Три зловредни Ghost семейства – какво точно крадат?

След успешна инфилтрация, DarkSword разгръща три различни backdoor инструмента, принадлежащи към т.нар. Ghost фамилия. Всеки от тях има специализирана роля:

Ghost Backdoor семейства

• GHOSTBLADE— универсален data miner. Събира история на браузъра, снимки, имейли и данни от криптовалутни портфейли. Времето за присъствие на устройството е в диапазон от минути – достатъчно за пълно изтегляне на лични данни.
• GHOSTKNIFE— специализиран в кражба на влезли в профили акаунти, история на съобщения (включително криптирани) и история на местоположението на жертвата.
• GHOSTSABER— изпълнява произволен код и открива нови вектори за кражба на данни, служейки като постоянна „отворена врата“ за бъдещи атаки.

Комбинацията от шпионаж и финансова кражба (включително от криптовалутни портфейли) е необичайна за инструменти, свързани с държавни актьори. Именно това накара изследователите от Lookout да заключат, че DarkSword обслужва двойни цели – разузнаване в интерес на руски спецслужби и директно финансово обогатяване на операторите.

Кой стои зад атаките? Руски следи и пазар за наемни хакери

Разследването разкрива комплексна и тревожна картина. Зад основната вълна от атаки срещу украински цели стои хакерска група, проследена от Google под кода UNC6353 – заподозряна в свързаност с руското разузнаване. Групата е активна от лятото на 2025 г. и е използвала и двата exploit kit – Coruna и DarkSword – в координирани watering hole кампании срещу украинска инфраструктура.

Паралелно с това, изследователите идентифицираха употреба от страна на PARS Defense – турски търговски доставчик на surveillance технологии, чиито клиенти са провели кампании в Турция и Малайзия. Тоест един и същ exploit kit е достъпен за руски държавни хакери, търговски доставчик и неговите клиенти – засегнати са цели в Украйна, Турция, Малайзия и Саудитска Арабия.

„UNC6353 е добре финансиран и свързан заплашителен актьор, провеждащ атаки с цели финансова печалба и шпионаж в съответствие с изискванията на руското разузнаване.“— Justin Albrecht, Principal Security Researcher, Lookout

Особено обезпокоително е откритието, че и Coruna, и DarkSword показват следи от използване на AI за генериране на код. Lookout установи характерни коментари в изходния код, генерирани с помощта на голям езиков модел (LLM) – тенденция, която може драстично да ускори разработката на бъдещи зловредни инструменти и да снижи бариерата за влизане на нови играчи.

Въпреки внушителните мотиви, DarkSword демонстрира и слабости. Нито JavaScript, нито HTML кодът са обфускирани по какъвто и да е начин, а сървърният компонент носи буквалния надпис „Dark sword file receiver“ – поразително лоша оперативна сигурност за група с твърдени връзки с руско разузнаване.

Колко iPhone устройства са реално застрашени?

Оценките на изследователите са стряскащи. Според iVerify, между 220 и 270 милиона iPhone устройства са потенциално уязвими. Lookout допълва, че около 15% от всички активни iOS устройства в момента работят с iOS 18 или по-стара версия – точният диапазон, в който DarkSword е ефективен.

Въпреки огромния мащаб на уязвимостта, засега атаките са целенасочени – концентрирани основно в Украйна. Изследователите обаче предупреждават, че съществуването на активен пазар за подобни инструменти означава, че всеки може да стане жертва, ако exploit kit​ът попадне в ръцете на финансово мотивирани групи без геополитически ограничения.

Как да защитите своя iPhone – веднага

Защитни стъпки

• Обновете iOS до версия26.3.1 или по-нова— това е единственото пълно решение срещу всичките шест уязвимости. Отидете в Настройки → Основни → Актуализация на софтуера.
• Ако използвате по-стар iPhone, несъвместим с iOS 26, проверете дали Apple е пуснал backport пачове за вашата версия — компанията е правила това и при Coruna.
• АктивирайтеLockdown Mode(Режим на заключване) в Настройки → Поверителност и сигурност, ако сте изложени на висок риск.
• Избягвайте непознати уебсайтове, получени чрез социални мрежи или имейли — DarkSword се задейства само при зареждане на заразена страница.
• Свържете iPhone към Mac и го сканирайте с антивирусен софтуер като Intego Mac Security, ако подозирате заразяване.
• Следете официалния Apple Security Releases сайт за нови пачове и обновления.

Тревожна тенденция: iOS вече не е имунизиран

Двойното разкриване на Coruna и DarkSword в рамките на един месец изпраща ясен сигнал към индустрията и потребителите: пазарът за сложни iOS exploit инструменти процъфтява. Докато преди подобни инструменти бяха рядкост, достъпна единствено за правителства с огромни бюджети, днес те явно циркулират между различни актьори – от държавни разузнавателни служби до търговски доставчици и криминални групи.

Популярното убеждение, че iPhone е „по-сигурен от Android“, вече не може да служи като заместител на активна политика по сигурността. Редовното обновяване на операционната система, вниманието при сърфиране и използването на допълнителни инструменти като Lockdown Mode са вече не препоръки, а задължителна хигиена в дигиталното пространство.

DarkSword може да е разкрит и частично неутрализиран, но историята с Coruna и DarkSword показа, че когато един exploit kit изтече от ръцете на първоначалния си собственик, той придобива живот на собствено – и спирането му е многократно по-трудно от предотвратяването.

iPhone 17e: Новият по-евтин iPhone на Apple, Който Дава Повече за По-Малко

Ния

Източник: Mashable