DarkSword iOS Exploit Kit Uses 6 Flaws, 3 Zero-Days for Full Device Takeover

DarkSword : Un kit d’exploitation iOS sophistiqué à l’œuvre

Points clés :

• Nature de l’attaque : DarkSword est un kit d’exploitation “full-chain” (chaîne complète) visant iOS (versions 18.4 à 18.7), utilisé par plusieurs acteurs, dont des groupes de surveillance commerciale et des entités liées au renseignement russe (notamment UNC6353).
• Mode opératoire : Attaques par type “watering hole” (sites compromis). Une fois le site visité via Safari, le kit utilise des iFrames pour identifier la version iOS, s’échapper du bac à sable (sandbox) WebContent, et déployer des malwares (GHOSTBLADE, GHOSTKNIFE, GHOSTSABER) pour exfiltrer des données sensibles (crypto-wallets, messages, photos, identifiants).
• Approche « Hit-and-Run » : Contrairement aux logiciels espions persistants, DarkSword nettoie ses traces et s’exécute en quelques secondes pour minimiser sa détection.

Vulnérabilités exploitées : Le kit utilise six failles, dont trois zero-days (au moment de leur exploitation) :

• CVE-2026-20700 (Zero-day) : Contournement de la protection PAC dans dyld.
• CVE-2025-43529 (Zero-day) : Corruption de mémoire dans JavaScriptCore.
• CVE-2025-14174 (Zero-day) : Corruption de mémoire dans ANGLE.
• CVE-2025-31277 : Corruption de mémoire dans JavaScriptCore.
• CVE-2025-43510 : Gestion de mémoire dans le noyau iOS.
• CVE-2025-43520 : Corruption de mémoire dans le noyau iOS.

Recommandations :

• Mise à jour immédiate : Appliquer systématiquement les correctifs de sécurité iOS dès leur disponibilité. Le kit cible spécifiquement les versions antérieures à 18.7.3.
• Prudence en navigation : Se méfier des sites web non sollicités, surtout lorsqu’ils redirigent vers du contenu suspect ou inhabituel sur mobile.
• Hygiène numérique : Utiliser des solutions de sécurité mobiles capables de détecter des comportements anormaux ou des configurations de système compromis.

Source