iPhoneを狙う新興エクスプロイトアーセナル「DarkSword」が、スパイウェアの秘密市場内で出現しました。Google、iVerify、およびLookoutのフォレンジック研究者たちは、このツールが既に複数の商用スパイウェア販売業者や国家支援の犯罪シンジケートによって積極的に使用されていることを報告しています。これらの攻撃の最大の目的は明白です:スマートフォンユーザーの最も機密なテレメトリの無察知な窃取です。
これらの研究者の報告によると、DarkSwordは少なくとも2025年11月から運用されていました。この悪質なスイートはiOS 18.4~18.7に精密に調整されており、6つの脆弱性を利用して3つの異なる隠れたバックドアを確立します。これらの有害なコンポーネントは、メッセージ、ローカルアーカイブ、地理的位置情報、認証情報、暗号通貨ウォレットのデータ、写真、通話記録、連絡先レジストリ、および多数の補助的な機密情報を容赦なく収集します。
フォレンジック専門家たちは重要な発見を強調しました:単一の月内で、異なる犯罪グループが同一のiPhoneエクスプロイトアーキテクチャを利用している事例が2度目であるということです。以前、研究者たちはCorunaという同様のプラットフォームを記録していました。UNC6353という名称の犯罪シンジケートは、秘密のスパイ活動に関連しており、Corunaとどちらの侵害されたデジタルドメイン経由の爆撃作戦でもDarkSwordを使用していました。
この感染の流れは、被害者が悪質なウェブサイトにアクセスすることで引き起こされます。その後、DarkSwordは順序良く6つの脆弱性を悪用します:CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、およびCVE-2025-43520。最初に、攻撃者はブラウザ内のリモートコード実行を達成します。その後、グラフィックレンダリングプロセス経由でサンドボックスを暴力的に突破し、システムの主要なカーネルへのアクセスを奪取し、最終的に絶対的な権限昇格を達成します。この支配の後、悪意のあるアーキテクチャはボラタイルメモリにJavaScript植込みを直接注入し、基本的なシステムプロセスからテレメトリを容易に吸収します。Appleは既にこれら6つの穴をすべて塞ぐための防衛パッチを構築しました。したがって、フォレンジック専門家は最新のiOSのインストールを強く勧告しています。
Googleは、DarkSwordを使用している3つの異なるシンジケートを特定しましたが、敵対者の実際の数がはるかに広大である可能性があることを認めています。UNC6748クラスターはsnapshare[.]chatドメイン経由で攻撃を行い、Snapchatサービスに巧みに偽装して、2025年11月を通じてサウジアラビアの住民を繰り返し標的にしました。この特定のキャンペーンはGhostKnifedバックドアを使用していました。この強力なモジュールは、認証されたアカウントのテレメトリ、メッセージ、ブラウザ履歴、地理的軌跡、および音声記録を盗みました。さらに、コマンド・アンド・コントロールサーバから補助ファイルを取得し、スクリーンの視覚表現をキャプチャし、デバイスのマイクを通じて音声を秘密裏に記録する悍ましい能力を持っていました。
2025年11月の終わりに、Googleの分析部隊は補助的なキャンペーンを記録しました。今回、DarkSwordはトルコの企業PARS Defense(商用スパイウェア市場内で活動する企業)によって使用され、トルコ国内のiPhoneユーザーを対象にしていました。1月までに、研究者たちはPARS Defenseのもう1人の顧客がマレーシアの標的に対する攻撃を調整していることを発見しました。両方の作戦はGhostSaberという別のJavaScript隠れたマルウェアを展開していました。このアーキテクチャはデバイスの仕様と認証情報を細心に収集し、ローカルファイルレジストリを明かし、この知識を運用者のサーバーに流出させ、任意のJavaScriptコマンドのリモート実行を促進していました。特に、GhostSaberサンプル内のコマンドの一部は、まだ初期段階で非運用状態であるにもかかわらず、音声記録と地理的座標のリアルタイム伝送への建築的参照が存在していました。
同時に、GoogleはUNC6353シンジケートによるDarkSwordの展開を入念に追跡していました。この新しいキャンペーンは侵害されたデジタルドメイン経由の爆撃によって特徴付けられていました。この特定の作戦において、攻撃者たちはGhostBladeバックドアを展開しました。このアプリケーションは対応するモジュールよりも建築的には複雑さが少ないように見えますが、収集されたテレメトリの範囲は天文学的に広大です:テキストメッセージ、メッセージング経路内の対話、連絡先レジストリ、通話記録、デバイスおよびプロフィール識別子、地理的位置情報、写真および本質的なメタデータ、暗号通貨ウォレットの機密詳細、ブラウザクッキー、および非常に多くの補助的なデータを網羅しています。盗まれた知識はその後、安全なHTTPSチャネル経由で攻撃者のサーバーに流出されました。
Lookoutはさらに別の重要な特異性へと注意を強く向けています。DarkSwordアーキテクチャと先行するCorunaスイートの両方は、秘密のスパイ活動の追求だけでなく、暗号資産の大胆な盗難のためにも設計されています。この不吉な組み合わせは、運用者が持つ二重の動機を明確に背信しています:金銭的豊富さの貪欲な追求が、知識収集の使命の遂行と同等に実行されています。この企業の推定では、UNC6353シンジケートは堅牢な財務的貯蔵庫と非常に有利な同盟によって強化されていますが、彼らの全体的な技術的洗練度は、最も強力で精鋭のサイバー犯罪グループが占める階級にはまだ上昇していません。
