Threat Intelligence

다크소드(DarkSword) iOS 익스플로잇, 위협 그룹 전반으로 확산

스냅챗 미끼를 클릭하는 순간 여러분의 아이폰이 스파이에게 넘어간다면? 구글 위협 인텔리전스가 발표한 다크소드(DarkSword)는 여러 위협 그룹이 무기화한 풀 체인(full-chain) iOS 익스플로잇입니다.

Threat Digest 5 min read
Read in: English 日本語 한국어 Русский Türkçe
{# Always render the hero — falls back to the theme OG image when article.image_url is empty (e.g. after the audit's repair_hero_images cleared a blocked Unsplash hot-link). Without this fallback, evergreens with cleared image_url render no hero at all → the JSON-LD ImageObject loses its visual counterpart and LCP attrs go missing. #}
구글 위협 인텔리전스의 다크소드(DarkSword) 익스플로잇 관찰 및 iOS 패치 타임라인 그래픽

Key Takeaways

  • 다크소드(DarkSword)는 6개의 제로데이 취약점을 연계해 iOS 18.4-18.7 버전을 완전 침해하며, 현재 UNC6353 등 여러 행위자들이 사용 중이다.
  • 코루나(Coruna) 툴킷과 유사한 확산 양상을 보이며, 익스플로잇 블랙마켓의 존재를 시사한다.
  • 모든 취약점은 iOS 26.3에서 패치되었으며, 패치 불가능한 경우 잠금 모드 활성화가 권장된다.
  • 최종 페이로드는 GHOSTBLADE, GHOSTKNIFE, GHOSTSABER이며, 지속성 확보 및 C2 기능에 사용된다.

하나의 iOS 익스플로잇 체인이 세상에 풀리자마자, 상업용 스파이웨어 판매업체부터 국가 지원 해커까지 모두가 앞다퉈 손에 넣었다면 어떻게 될까요?

구글 위협 인텔리전스(Google Threat Intelligence) 그룹의 최신 보고서, 다크소드(DarkSword)가 그 민낯을 드러냈습니다. 6개의 제로데이 취약점을 연계한 이 악랄한 익스플로잇은 iOS 18.4부터 18.7 버전을 사용하는 아이폰을 침해했습니다. 2025년 11월부터 사우디아라비아, 터키, 말레이시아, 우크라이나 등지에서 표적 캠페인에 등장했죠. 그리고 여기서 주목할 점은, 이게 한두 조직의 짓이 아니라는 겁니다. 러시아의 것으로 추정되는 스파이 그룹부터 이름이 공개되지 않은 감시 솔루션 판매업체까지, 여러 세력이 자신들의 더러운 작업을 위해 이걸 개조해서 사용하고 있습니다.

구글은 다크소드(DarkSword)의 확산을 어떻게 포착했나?

2025년 말, 복구된 페이로드에서 발견된 흔적들을 종합해 GTIG(Google Threat Intelligence Group)가 조사를 시작했습니다. 11월부터 발생한 분명한 캠페인들을 추적했죠. 마치 디지털 포렌식과 역학 조사가 결합된 것과 같습니다. 같은 익스플로잇 DNA, 다른 운영자들 말입니다.

GTIG는 해당 취약점들을 애플에 즉시 보고했고, 대부분 iOS 26.3 버전에서 패치되었습니다. (이전 버전에서도 대부분 수정됨). 관련 도메인은 세이프 브라우징에서 차단되었습니다. 스마트한 조치죠. 만약 구형 버전을 사용 중이라면 ‘잠금 모드(Lockdown Mode)’를 활성화하는 것이 좋습니다.

이건 단순한 사건이 아닙니다. 다크소드(DarkSword)는 과거 코루나(Coruna) iOS 툴킷과 유사한 점이 많습니다. UNC6353이라는 러시아로 추정되는 그룹이 한때 코루나를 선호했었죠. 이제 이들은 워터링 홀 공격에 다크소드(DarkSword)로 갈아탔습니다. 이렇게 익스플로잇이 확산된다는 것은, 코드 한 조각이 임대되고, 수정되고, 재사용되는 시장이 형성되고 있다는 신호입니다.

“GTIG는 여러 제로데이 취약점을 이용해 기기를 완벽하게 침해하는 새로운 iOS 풀 체인 익스플로잇을 확인했습니다. 복구된 페이로드에서 발견된 흔적을 기반으로, 이 익스플로잇 체인의 이름이 다크소드(DarkSword)라고 믿습니다.”

GTIG의 보고서에 담긴 이 간결한 문장이 체인의 정교함을 강조하고 있습니다.

사우디아라비아에서의 UNC6748의 스냅챗 함정

2025년 11월 초. 스냅챗을 사칭한 snapshare[.]chat이라는 웹사이트가 사우디 사용자들을 유인했습니다. 자바스크립트 난독화로 악성 코드를 숨겼고, 반복적인 공격을 피하기 위한 세션 키를 설정했으며, iFrame을 이용해 frame.html을 불러왔습니다.

이것이 바로 rce_loader.js, 즉 실제 엔진을 불러왔습니다. XMLHttpRequest를 통해 원격 코드 실행 페이로드를 가져옵니다. UNC6748은 빠르게 진화했습니다. 초기에는 CVE-2025-31277(JavaScriptCore 메모리 스매시)과 CVE-2026-20700(dyld의 PAC 우회)을 노렸습니다. 며칠 후에는 iOS 18.6 지원을 위해 CVE-2025-43529를 추가로 적용했습니다.

하지만 문제는 있었습니다. 로직 오류로 인해 iOS 18.4 익스플로잇이 18.6 미만 기기에서는 제대로 작동하지 않았고, 9월에 출시된 18.7 버전은 아예 무시했습니다. 크롬 사용자들은요? x-safari-https를 통해 사파리로 강제 전환되었습니다. 합법적인 스냅챗 페이지로 리디렉션되어 전환 사실을 은폐했습니다. 디버깅 방지 기능으로 감시를 어렵게 만들었습니다.

11월 내내 활동이 감지되었고, 탐지를 피하기 위한 수정 작업이 계속되었습니다. 전형적인 고양이와 쥐의 게임이죠.

최종 페이로드: GHOSTBLADE, GHOSTKNIFE, GHOSTSABER

다크소드(DarkSword)는 원격 코드 실행에서 멈추지 않습니다. 침해 후 3가지 악성코드 패밀리를 배포합니다.

GHOSTBLADE는 은밀하게 시스템에 잠복하며 데이터를 유출합니다. GHOSTKNIFE는 키로깅과 화면 캡처 기능을 강화했습니다. GHOSTSABER는 사령 통제(Command-and-Control) 기능을 담당하고, 심지어 측면 이동(lateral movement)까지 수행하는 강력한 악성코드입니다. 각각 맞춤형이지만, 익스플로잇의 근원은 공유합니다.

GTIG는 Lookout, iVerify와 협력하여 이들을 분석했습니다. 원본 보고서에는 코드 블록이 없었지만, 아키텍처는 모듈식 설계를 암시합니다. 즉, 공격자들이 자신들의 도구를 쉽게 추가할 수 있다는 뜻입니다.

왜 다크소드(DarkSword)의 확산이 아이폰 보안에 중요한가?

간단히 말해, 고급 공격의 문턱을 낮추기 때문입니다. 과거에는 제로 클릭(zero-click) 체인이 국가 단위의 전유물이었습니다. 페가수스를 생각해 보세요. 하지만 이제는 상업용 판매업체들이 이를 판매하고, 국가들이 이를 빌려 쓰고 있습니다. 다크소드(DarkSword)의 툴킷 느낌(코루나처럼)은 더 빠른 진화와 더 넓은 공격 범위를 의미합니다.

여기 ‘쓰렛 다이제스트(Threat Digest)’만의 독특한 시각이 있습니다. 이것은 악성코드 역사에서 스턱스넷(Stuxnet)이 전환점이 된 사건과 유사합니다. 2010년, 스턱스넷은 미국-이스라엘의 기원을 벗어나 Duqu, Flame 등으로 확산되며 현금이 있는 누구에게나 기술을 퍼뜨렸습니다. 다크소드(DarkSword)도 모바일 제로데이 분야에서 똑같은 역할을 할 수 있으며, 스파이 시장을 범람시킬 수 있습니다. 과감한 예측을 하자면, 2027년까지 우리는 다크소드(DarkSword)의 변종이 비국가 행위자의 손에 들어가 예상치 못한 곳에서 활동가들을 공격하는 것을 보게 될 것입니다. 애플의 패치는 도움이 되겠지만, 이미 판도라의 상자는 열렸습니다. 빠른 변이가 예상됩니다.

기업의 입장에서는? 판매업체들은 자신들이 이를 사용한다는 사실을 인정하지 않을 것이고, 국가들은 전면 부인할 것입니다. GTIG는 ‘상업적 감시’라는 라벨에 주목하라고 말합니다. 이는 NSO 같은 용병 회사에 대한 정중한 표현이지만, 러시아 UNC6353과의 연관성은 하이브리드 위협을 강력히 시사합니다.

누가 다음 타겟인가? 타임라인과 패치

GTIG의 타임라인(보고서의 그림 1)은 관측 내용을 애플의 패치 시점과 비교합니다. 대부분의 취약점은 초기에 수정되었으며, 26.3 버전에서 마지막으로 처리되었습니다. 다른 공격자들도 잠복해 있을 가능성이 높습니다. GTIG는 아직 보고되지 않은 사용자들도 있을 수 있다고 암시합니다.

타겟은 권위주의 국가와 분쟁 지역을 아우릅니다. 사우디(왕족?), 터키(반체제 인사?), 말레이시아/우크라이나(지정학적 문제?). 워터링 홀(해킹된 합법 웹사이트)은 공격 범위를 증폭시킵니다.

한 가지 인상적인 통계: 6개의 제로데이 취약점이 연계되었습니다. 이는 웹킷 RCE, 커널 탈취, 샌드박스 탈출 등 iOS의 계층적인 방어를 악용하는 건축적 마스터피스입니다.

다크소드(DarkSword)는 새로운 코루나 2.0인가?

판박이입니다. 둘 다 다중 행위자, iOS 중심의 툴킷입니다. 코루나는 UNC6353의 활동을 지원했고, 다크소드(DarkSword)는 바로 그 자리를 채우고 있습니다. 차이점은요? 다크소드(DarkSword)는 iOS 18.x 버전을 폭넓게 지원하며, 6개의 취약점을 사용합니다. 코루나는 상대적으로 적은 수의 취약점을 사용했죠.

왜 변화했을까요? 패치가 코루나를 막았기 때문이고, 다크소드(DarkSword)는 새로운 것입니다. 하지만 확산 위험은 연소(burnout)를 초래할 수 있습니다. 과도한 사용은 GTIG가 증명하듯 역공학을 유발합니다.

아키텍처적인 특징은 모듈식 로더(rce_module.js, worker variants)입니다. 이를 통해 공격자들은 코어를 다시 작성하지 않고도 취약점을 교체할 수 있습니다. 이것이 ‘방법’입니다. 플러그 앤 플레이 제로데이. ‘이유’는요? 타겟팅 속도, 제로섬 경쟁에서의 낮은 개발 비용입니다.

업데이트하세요. 잠금 모드를 켜세요. 반복하세요.

🧬 관련 통찰

자주 묻는 질문

다크소드(DarkSword) iOS 익스플로잇 체인이란 무엇인가요?
6개의 제로데이 취약점을 연계하여 iOS 18.4-18.7 버전을 완전 침해하고 GHOSTBLADE와 같은 악성코드를 배포하는 구글이 식별한 풀 체인 익스플로잇입니다. iOS 26.3에서 패치되었습니다.

어떤 위협 그룹이 다크소드(DarkSword)를 사용하나요?
UNC6748(사우디 타겟), UNC6353(러시아 연계), 그리고 상업용 판매업체들이 사용합니다. 사우디아라비아, 터키, 말레이시아, 우크라이나에서 캠페인이 발견되었습니다.

다크소드(DarkSword)로부터 어떻게 보호받을 수 있나요?
최신 iOS 버전으로 즉시 업데이트하십시오. 잠금 모드를 활성화하십시오. 의심스러운 링크, 특히 스냅챗 미끼 링크는 피하십시오.

Maya Thompson
Written by
Maya Thompson

Threat intelligence reporter. Tracks CVEs, ransomware groups, and major breach investigations.

#darksword #google-tag #google-threat-intelligence #ios-exploit #ios-exploits #state-sponsored-actors #threat-actors #zero-day-vulnerabilities
More in Threat Intelligence →

Worth sharing?

Get the best Cybersecurity stories of the week in your inbox — no noise, no spam.

Originally reported by Mandiant Blog

Related Stories