Tek bir iOS açığı zinciri yayıldığında ve bunu ticari casus yazılım satıcılarından devlet destekli hacker’lara kadar herkes ele geçirdiğinde ne olur?
Google Tehdit İstihbaratı Grubu’nun DarkSword hakkındaki son raporu her şeyi ortaya koyuyor: altı sıfır-gün açığını zincirleyen bu canavar, iOS 18.4 ile 18.7 arasındaki iPhone’ları ele geçirmiş. Kasım 2025’ten bu yana Suudi Arabistan, Türkiye, Malezya ve Ukrayna’daki hedefleri vuran kampanyalarda karşımıza çıktı. Ve en çarpıcı yanı da şu: Bu tek birinin işi değil. Şüpheli Rus casusluk gruplarından adı açıklanmayan gözetim satıcılarına kadar birden fazla oyuncu, bunu kendi kirli işleri için özelleştirmiş.
Google DarkSword’un Yayılmasını Nasıl Tespit Etti?
Keşif 2025’in sonlarında başladı ve GTIG, ele geçirilen yüklerden elde edilen ipuçlarını bir araya getirdi. Kasım ayına kadar iz sürerek belirgin kampanyaları tespit ettiler. Dijital adli tıp ile epidemiyolojinin birleşimi gibi düşünün: aynı açık DNA’sı, farklı operatörler.
GTIG, açıkları hemen Apple’a bildirdi; hepsi iOS 26.3’te yamalandı (çoğu daha erken). Alan adları Güvenli Tarama’da engellendi. Akıllı hamle: eski bir sürümde takılı kaldıysanız Kilitleme Modu’nu etkinleştirin.
Bu münferit bir olay değil. DarkSword, daha önceki Coruna iOS kitini anımsatıyor; ki bu kit bir zamanlar UNC6353 -olası bir Rus ekibi- tarafından tercih ediliyordu. Şimdi onları su basması saldırıları için DarkSword ile değiştirdiler. Bu tür bir yayılma, kodun kiralandığı, değiştirildiği, yeniden kullanıldığı açık pazarını gösteriyor.
“GTIG, cihazları tamamen ele geçirmek için birden fazla sıfır-gün açığını kullanan yeni bir iOS tam zincir açığı tespit etti. Ele geçirilen yüklerdeki izlere dayanarak, açığın zincirinin adı DarkSword olduğuna inanıyoruz.”
Bu, GTIG’nin raporundan doğrudan alınan net açılış cümlesi ve zincirin karmaşıklığını vurguluyor.
Suudi Arabistan’da UNC6748’in Snapchat Tuzağı
Kasım 2025 başı. Snapchat’i taklit eden bir site -snapshare[.]chat- Suudi kullanıcıları tuzağa düşürüyor. JavaScript gizlemesi kötü niyeti saklıyor; tekrarlanan vuruşlardan kaçınmak için bir oturum anahtarı ayarlıyor, frame.html için bir iFrame başlatıyor.
Bu, gerçek motor olan rce_loader.js’yi çekiyor. XMLHttpRequest aracılığıyla uzaktan kod yürütme yüklerini alıyor. UNC6748 hızla ilerledi: önce CVE-2025-31277 (JavaScriptCore bellek hatası) ve CVE-2026-20700 (dyld’de PAC atlatma) hedefleyen bir ikili. Günler sonra, iOS 18.6 desteği için CVE-2025-43529’u eklediler.
Ancak hatalar boldu - mantık hataları nedeniyle iOS 18.4 açıkları 18.6 olmayan cihazlarda başarısız oldu, Eylül’de çıkmasına rağmen 18.7’yi tamamen göz ardı etti. Chrome kurbanları mı? x-safari-https aracılığıyla Safari’ye zorlandılar. Yasal Snapchat’i maskeleyen yönlendirmeler yapıldı. Hata ayıklama önleme hileleri, meraklı gözlere karşı onu sertleştirdi.
Kasım boyunca aktivite sürdü, tespit edilmekten kaçınmak için ince ayarlar yapıldı. Klasik kedi-fare oyunu.
Son Yükler: GHOSTBLADE, GHOSTKNIFE, GHOSTSABER
DarkSword, Uzaktan Kod Yürütme (RCE) ile durmuyor. Ele geçirme sonrası üç kötü amaçlı yazılım ailesini indiriyor.
GHOSTBLADE gizlice kalıcı hale geliyor, verileri sızdırıyor. GHOSTKNIFE, tuş kaydedici ve ekran görüntüleriyle işleri kızıştırıyor. GHOSTSABER -ağır top- komuta ve kontrolü, hatta yanal hareketi bile yönetiyor. Her biri özelleştirilmiş, ancak açık köklerini paylaşıyor.
GTIG, Lookout ve iVerify ile birlikte bunları inceledi. Orijinal raporda kod blokları korunmamış, ancak mimari modüler tasarımı haykırıyor - aktörlerin kendi oyuncaklarını eklemesi kolay.
DarkSword’un Yayılması Neden iPhone Güvenliği İçin Önemli?
Kısa cevap: üst düzey saldırıları demokratikleştiriyor. Bir zamanlar sıfır-tıklama zincirleri ulus devletlere özeldi - Pegasus’u düşünün. Şimdi mi? Ticari satıcılar bunları satıyor, devletler ödünç alıyor. DarkSword’un araç kiti havası (Coruna gibi) daha hızlı evrimleşme, daha geniş ağlar anlamına geliyor.
İşte Tehdit Bülteni’nin getirdiği benzersiz bakış açısı: Bu, kötü amaçlı yazılım tarihindeki Stuxnet dönüm noktasını yansıtıyor. 2010’da Stuxnet, ABD-İsrail kökenlerinden sızdı, Duqu ve Flame’i doğurdu - parası olan herkese teknikleri yaydı. DarkSword, mobil sıfır-günler için aynısını yapabilir, casusluk pazarlarını sular altında bırakabilir. Cüretkar tahmin: 2027’ye kadar, beklemediğimiz yerlerde aktivistleri hedef alan, devlet dışı ellerde DarkSword çatalları göreceğiz. Apple’ın yamaları yardımcı oluyor, ancak cini şişeden çıktı - hızlı mutasyonlar bekleyin.
Kurumsal savunma mı? Satıcılar bu konuda araç geliştirdiklerini kabul etmeyecekler; devletler tamamen reddediyor. GTIG, ‘ticari gözetim’ etiketine abanıyor - bu NSO gibi paralı asker firmalarına nazik bir gönderme, ancak Rus UNC6353 örtüşmesi hibrit tehditleri haykırıyor.
Sıradaki Kim? Zaman Çizelgesi ve Yamalar
GTIG’nin zaman çizelgesi (raporlarındaki Şekil 1), gözlemleri Apple’ın düzeltmeleriyle eşleştiriyor. Çoğu açık erken öldü; 26.3’te sonuncular. Diğer aktörler muhtemelen gizleniyor - GTIG raporlanmamış kullanıcıları ima ediyor.
Hedefler otokrasiler ve sıcak noktaları kapsıyor: Suudi Arabistan (krallar mı?), Türkiye (muhalifler mi?), Malezya/Ukrayna (jeopolitika). Su basması alanları - ele geçirilmiş yasal siteler - erişimi artırıyor.
Tek vurucu istatistik: zincirde altı sıfır-gün. Bu WebKit RCE, çekirdek atlamaları, kum havuzu kaçışları - iOS’un katmanlı savunmalarını sömüren mimari ustalık.
DarkSword Yeni Coruna 2.0 mu?
Birebir aynı. Her ikisi de çok aktörlü, iOS odaklı kitler. Coruna UNC6353’ün işini kolaylaştırdı; DarkSword tam oraya oturuyor. Fark? DarkSword’un iOS 18.x genişliği, Coruna’nın daha ince setine karşılık altı açık.
Neden bu değişim? Yamalar Coruna’yı öldürdü; DarkSword taze. Ancak yayılma riskleri tükenmeye yol açar - aşırı kullanım, GTIG’nin kanıtladığı gibi, tersine mühendisliğe davetiye çıkarır.
Mimari ipucu: modüler yükleyiciler (rce_module.js, worker varyantları) aktörlerin çekirdeği yeniden yazmadan açıkları değiştirmesine izin verir. Bu ‘nasıl’ - tak-çalıştır sıfır-günler. ‘Neden’ mi? Bir silahlanma yarışında hedeflemeye hız, düşük geliştirme maliyeti.
Güncelleyin. Kilitleme Modu’nu etkinleştirin. Tekrarlayın.
🧬 İlgili İçgörüler
- Daha Fazlasını Okuyun: 36 Sahte npm Strapi Eklentisi, Redis ve Postgres Arka Kapılarını Geliştirme Hatlarına Gizledi
- Daha Fazlasını Okuyun: 14.000 F5 BIG-IP Kapısı, RCE Kabuslarına Tamamen Açık Hale Geldi
Sıkça Sorulan Sorular
DarkSword iOS açığı zinciri nedir?
Google tarafından tanımlanan, iOS 18.4-18.7’yi tamamen ele geçirmek için altı sıfır-gün kullanan, GHOSTBLADE gibi kötü amaçlı yazılımları dağıtan tam zincir. iOS 26.3’te yamalandı.
DarkSword’u hangi tehdit aktörleri kullanıyor?
UNC6748 (Suudi hedefleri), UNC6353 (Rusya bağlantılı) ve ticari satıcılar. Suudi Arabistan, Türkiye, Malezya ve Ukrayna’da kampanyalar.
DarkSword’a karşı nasıl korunulur?
En son iOS sürümüne hemen güncelleyin. Kilitleme Modu’nu etkinleştirin. Özellikle Snapchat tuzağı gibi şüpheli bağlantılardan kaçının.
