Что происходит, когда одна цепочка эксплойтов для iOS попадает в дикие условия, а затем её подхватывают все — от торговцев коммерческим шпионским ПО до хакеров, спонсируемых государством?
Последний отчёт группы Google Threat Intelligence о DarkSword расставляет всё по местам: этот монстр-эксплойт, использующий шесть уязвимостей нулевого дня, скомпрометировал iPhone под управлением iOS версий с 18.4 по 18.7. С ноября 2025 года он появлялся в кампаниях, нацеленных на Саудовскую Аравию, Турцию, Малайзию и Украину. И вот в чём соль — это работа не одного одинокого волка. Множество игроков, от предполагаемых российских шпионских групп до неназванных поставщиков систем наблюдения, адаптировали его для своих грязных дел.
Как Google обнаружила распространение DarkSword?
Обнаружение началось в конце 2025 года, когда GTIG (Google Threat Intelligence Group) собирала фрагменты информации с извлечённых полезных нагрузок. Они отследили активность до ноября, заметив различные кампании. Представьте себе это как цифровую криминалистику, смешанную с эпидемиологией: одна и та же ДНК эксплойта, разные операторы.
GTIG оперативно сообщила об уязвимостях Apple — все они были исправлены в iOS 26.3 (большинство — ранее). Домены были занесены в чёрный список в Safe Browsing. Отличный ход: включите Режим блокировки, если вы застряли на старой версии.
Это не единичный случай. DarkSword повторяет судьбу комплекта Coruna для iOS, который когда-то был излюбленным инструментом UNC6353 — предположительно, российской группы. Теперь они переключились на DarkSword для атак через «поливные дыры» (watering hole attacks). Такое широкое распространение свидетельствует о существовании рынка эксплойтов, где код сдаётся в аренду, модифицируется и повторно используется.
“GTIG идентифицировала новый полнофункциональный эксплойт для iOS, использующий несколько уязвимостей нулевого дня для полного компрометирования устройств. Основываясь на анализе полезных нагрузок, мы полагаем, что цепочка эксплойтов называется DarkSword.”
Это сухое начало от GTIG — прямо из их отчёта, подчёркивающее изощрённость цепочки.
Ловушка Snapchat от UNC6748 в Саудовской Аравии
Начало ноября 2025 года. Сайт, имитирующий Snapchat — snapshare[.]chat — заманивает саудовских пользователей. Обфускация JavaScript скрывает вредоносный код; устанавливается ключ сессии для предотвращения повторных атак, запускается iFrame для frame.html.
Этот фрейм подгружает rce_loader.js — настоящий двигатель. Он получает полезные нагрузки для удалённого выполнения кода через XMLHttpRequest. UNC6748 действовала быстро: сначала пара эксплойтов, нацеленных на CVE-2025-31277 (переполнение памяти JavaScriptCore) и CVE-2026-20700 (обход PAC в dyld). Через несколько дней они добавили CVE-2025-43529 для поддержки iOS 18.6.
Однако ошибок хватало — логические просчёты приводили к тому, что эксплойты для iOS 18.4 давали сбой на устройствах, отличных от 18.6, и полностью игнорировали 18.7, несмотря на её выход в сентябре. Пользователи Chrome? Их принудительно перенаправляли в Safari через x-safari-https. Подмена адреса легитимным Snapchat маскировала перенаправление. Техники антиотладки усложняли анализ.
Активность пульсировала в течение ноября, с постоянными доработками для обхода обнаружения. Классическая игра в кошки-мышки.
Финальные полезные нагрузки: GHOSTBLADE, GHOSTKNIFE, GHOSTSABER
DarkSword не останавливается на RCE. После компрометации он развёртывает три семейства вредоносных программ.
GHOSTBLADE работает скрытно, извлекая данные. GHOSTKNIFE усиливает функционал, добавляя кейлоггинг и захват экрана. GHOSTSABER — тяжёлая артиллерия — отвечает за управление и контроль (C2), а также за боковое перемещение. Каждый модуль имеет свои особенности, но все они имеют общие корни в эксплойте.
GTIG совместно с Lookout и iVerify провели их анализ. В исходном отчёте не было блоков кода для сохранения, но архитектура явно указывает на модульный дизайн — это упрощает злоумышленникам возможность «подключать» свои инструменты.
Почему распространение DarkSword имеет значение для безопасности iPhone?
Короткий ответ: это демократизирует высококлассные атаки. Раньше цепочки эксплойтов нулевого клика были эксклюзивом государственных структур — вспомните Pegasus. А теперь? Коммерческие поставщики продают их, государства заимствуют. Модульный подход DarkSword (как и у Coruna) означает более быструю эволюцию и более широкие сети.
Уникальный взгляд «Threat Digest»: это перекликается с поворотным моментом в истории вредоносного ПО, когда произошёл переход от Stuxnet. В 2010 году Stuxnet, утекая из американо-израильских источников, породил Duqu, Flame — распространяя техники среди всех, у кого есть деньги. DarkSword может сделать то же самое для мобильных уязвимостей нулевого дня, наводняя рынки шпионажа. Смелое предположение: к 2027 году мы увидим «форки» DarkSword в руках негосударственных акторов, нацеленные на активистов в неожиданных местах. Патчи Apple помогают, но джинн уже выпущен из бутылки — ждите быстрой мутации.
Корпоративные заявления? Поставщики не признают, что используют это; государства полностью отрицают. GTIG намекает на «коммерческое наблюдение» — это вежливый намёк на наёмников вроде NSO, но пересечение с российской UNC6353 кричит о гибридных угрозах.
Кто следующий? Временная шкала и исправления
Временная шкала GTIG (Рисунок 1 в их публикации) сопоставляет наблюдения с исправлениями Apple. Большинство уязвимостей были устранены рано; последние — в 26.3. Вероятно, действуют и другие злоумышленники — GTIG намекает на неучтённых пользователей.
Цели охватывают автократии и горячие точки: Саудовская Аравия (члены королевской семьи?), Турция (диссиденты?), Малайзия/Украина (геополитика). «Поливные дыры» — скомпрометированные легитимные сайты — увеличивают охват.
Один яркий факт: шесть уязвимостей нулевого дня в цепочке. Это RCE в WebKit, эскалация привилегий в ядре, побеги из песочницы — мастерство архитектуры, использующее многоуровневую защиту iOS.
Является ли DarkSword новым Coruna 2.0?
Очень похож. Оба — наборы инструментов, ориентированные на iOS и используемые разными группами. Coruna облегчил работу UNC6353; DarkSword идеально вписывается. Разница? Широкий охват DarkSword в iOS 18.x, шесть уязвимостей против более компактного набора Coruna.
Почему произошёл сдвиг? Патчи остановили Coruna; DarkSword — новый. Но риски распространения могут привести к выгоранию — чрезмерное использование приглашает к обратному инжинирингу, как демонстрирует GTIG.
Архитектурный признак: модульные загрузчики (rce_module.js, варианты worker) позволяют злоумышленникам менять уязвимости, не переписывая ядро. Это «как» — уязвимости нулевого дня «подключай и используй». А «зачем»? Скорость достижения цели, низкая стоимость разработки в гонке вооружений.
Обновляйтесь. Включите Режим блокировки. Повторяйте.
🧬 Связанные материалы
- Читать далее: 36 фейковых плагинов npm для Strapi внедряют бэкдоры Redis и Postgres в конвейеры разработки
- Читать далее: 14 000 дверей F5 BIG-IP распахнуты для кошмаров RCE
Часто задаваемые вопросы
Что такое цепочка эксплойтов DarkSword для iOS?
Обнаруженная Google полнофункциональная цепочка, использующая шесть уязвимостей нулевого дня для джейлбрейка iOS 18.4-18.7 с последующим развёртыванием вредоносного ПО, такого как GHOSTBLADE. Исправлена в iOS 26.3.
Какие группы атакующих используют DarkSword?
UNC6748 (цели в Саудовской Аравии), UNC6353 (связь с Россией), а также коммерческие поставщики. Кампании проводились в Саудовской Аравии, Турции, Малайзии, Украине.
Как защититься от DarkSword?
Немедленно обновите iOS до последней версии. Включите Режим блокировки. Избегайте подозрительных ссылок, особенно приманок в виде сообщений из Snapchat.
