New “Darksword” iOS exploit used in infostealer attack on iPhones

DarkSword : Une nouvelle menace sophistiquée pour iOS

Le kit d’exploitation DarkSword cible les appareils Apple sous iOS 18.4 à 18.7 via des attaques par navigation (watering hole). Utilisé par plusieurs acteurs malveillants, dont des groupes liés à l’espionnage et au vol de cryptomonnaies, ce framework déploie des logiciels malveillants capables d’exfiltrer une vaste gamme de données personnelles. La sophistication du code suggère une aide potentielle de modèles de langage (LLM) pour son développement.

Points clés :

• Vecteur d’attaque : Compromission de sites web via des iFrames malveillants visant le navigateur Safari.
• Fonctionnement : Utilise une chaîne d’exploitation permettant l’accès en lecture/écriture au noyau, l’évasion de sandbox et l’élévation de privilèges.
• Charges utiles : Déploiement de trois familles de malwares (GHOSTBLADE, GHOSTKNIFE, GHOSTSABER) conçus pour siphonner des informations critiques (mots de passe, photos, messageries chiffrées, données de portefeuilles crypto).
• Discrétion : Le malware supprime ses fichiers temporaires après exfiltration des données pour limiter sa détection.

Vulnérabilités exploitées (CVE) : La chaîne d’exploitation repose sur six failles documentées et corrigées par Apple :

• CVE-2025-31277
• CVE-2025-43529
• CVE-2026-20700
• CVE-2025-14174
• CVE-2025-43510
• CVE-2025-43520

Recommandations :

• Mise à jour : Installer immédiatement la version iOS 26.3.1 ou supérieure, qui corrige les vulnérabilités exploitées par DarkSword.
• Sécurité renforcée : Activer le « Mode Isolement » (Lockdown Mode) pour les utilisateurs présentant un profil à haut risque d’être ciblés par des logiciels espions.

Source