Un nouveau kit d’exploitation pour appareils iOS, nommé DarkSword, a été utilisé pour le vol d’informations personnelles, incluant des données provenant d’applications de portefeuilles de cryptomonnaies.
DarkSword cible les iPhones fonctionnant sous iOS versions 18.4 à 18.7 et est associé à plusieurs groupes d’attaque, dont celui qui a exploité la chaîne d’exploit Coruna récemment dévoilée.
Les chercheurs de Lookout Threat Labs ont découvert DarkSword en analysant l’infrastructure liée aux attaques Coruna. La Google Threat Intelligence Group et iVerify ont également collaboré pour une analyse approfondie de cette menace méconnue et des adversaires qui l’exploitent.
Les résultats d’iVerify montrent que toutes les vulnérabilités utilisées dans cette chaîne d’exploit sont connues et documentées, et Apple a déjà corrigé ces failles dans ses dernières mises à jour d’iOS.
Le kit d’exploitation DarkSword utilise six vulnérabilités identifiées comme CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510, et CVE-2025-43520.
Source : Lookout
Bien que l’attribution reste floue, le groupe responsable de DarkSword est suivi sous le nom de UNC6353, semblant bien financé avec accès à de nombreux exploits connus et inconnus.
Les chercheurs ont détecté l’utilisation d’outils de modèles de langage (LLM) pour étendre les capacités de DarkSword, bien qu’ils soulignent que le malware lui-même est sophistiqué et non pas un outil jetable généré par IA.
« Ce malware est hautement sophistiqué et semble être une plateforme conçue de manière professionnelle, permettant le développement rapide de modules grâce à l’accès à un langage de programmation avancé, » a déclaré Lookout dans son rapport.
Attaques DarkSword
Outre le kit d’exploitation DarkSword, iVerify a également découvert une vulnérabilité dans Safari permettant une « évasion de bac à sable, élévation de privilèges et implants en mémoire » pour le vol de données sensibles.
Les attaques DarkSword commencent dans le navigateur Safari, utilisant plusieurs exploits pour obtenir un accès en lecture/écriture au noyau, puis exécuter du code via un composant orchestrateur principal (pe_main.js).
On ne sait pas encore comment les sites Web ayant lancé ces attaques ont été compromis, mais les acteurs de la menace ont eu suffisamment de droits pour infecter des iframes malveillants dans le code HTML de ces sites.
Source : Lookout
L’orchestrateur injecte un moteur JavaScript dans des services privilégiés d’iOS tels que l’accès aux applications, le Wi-Fi, Springboard, Keychain, et iCloud, puis active des modules de vol de données.
Selon l’analyse de Lookout, les informations ciblées par DarkSword incluent :
- Mots de passe enregistrés
- Photos, y compris captures d’écran et fichiers d’images cachés
- Bases de données de WhatsApp et Telegram
- Portefeuilles de cryptomonnaies (Coinbase, Binance, Ledger, etc.)
- Messages texte (SMs)
- Carnet d’adresses
- Historique d’appels
- Historique de localisation
- Historique de navigation
- Cookies
- Historique Wi-Fi et mots de passe
- Données de Apple Health
- Calendrier
- Notes
- Applications installées
- Comptes connectés
Notamment, DarkSword efface les fichiers temporaires et se ferme une fois les données exfiltrées, ce qui indique qu’il n’a pas été conçu pour des opérations de surveillance à long terme.
Lookout estime que DarkSword est utilisé par un acteur de menace russe avec des objectifs financiers, tout en menant des opérations d’espionnage alignées avec les exigences des renseignements russes.
Les utilisateurs d’iPhone sont conseillés de mettre à jour leur appareil vers la version iOS 26.3.1, publiée plus tôt ce mois-ci, et d’activer le Mode Lockdown s’ils risquent d’être ciblés par des malwares.
Pour ceux utilisant des appareils plus anciens qui ne peuvent pas être mis à jour vers la dernière version d’iOS, Apple pourrait effectuer des corrections, comme ce fut le cas avec les exploits Coruna, bien que cela n’ait pas encore été confirmé.