Ein neu identifiziertes Spyware-Tool namens Darksword wurde entdeckt, das Apple iPhones ins Visier nimmt, wobei Forscher die Aktivitäten mit Kampagnen mit kompromittierten Webseiten in der Ukraine in Verbindung bringen. Der Schwachpunkt wurde von den Cybersicherheitsfirmen Lookout und iVerify sowie von Forschern von Google entdeckt, die sagten, das Tool könne sensible Daten von betroffenen Geräten extrahieren.
Laut der Analyse wurde die Spyware über Dutzende von Websites verbreitet, die mit bösartigem Code injiziert worden waren. Nutzer, die diese Seiten mit verwundbaren iPhones besuchen, könnten ohne zusätzliche Interaktion infiziert werden. Die Aktivität konzentrierte sich auf Geräte mit den iOS-Versionen 18.4 bis 18.6.2, die zwischen März und August 2025 veröffentlicht wurden.
Forscher sagten, der Exploit ermögliche den Zugriff auf eine breite Palette von auf Geräten gespeicherten Informationen, darunter Nachrichten, Standortdaten und Details zu Kryptowährungs-Wallets. Das Tool funktioniert, indem es mehrere Schwachstellen im Betriebssystem ausnutzt, sodass Angreifer Daten abrufen können, sobald der Zugriff hergestellt ist.
Die Kampagne beschränkt sich nicht auf die Ukraine. Ermittler berichteten, dass ähnliche Aktivitäten auch in anderen Ländern beobachtet wurden, darunter Saudi-Arabien, die Türkei und Malaysia. Einige Fälle wurden mit kommerziellen Überwachungsanbietern in Verbindung gebracht, während andere mit mutmaßlich staatlich verbundenen Akteuren in Verbindung stehen.
Forscher stellten außerdem fest, dass die Spyware auf einer Infrastruktur gehostet wurde, die zuvor für einen anderen iPhone-Exploit namens Coruna verwendet wurde, was auf Überschneidungen zwischen verschiedenen Kampagnen und Tools hinweist. Die Ergebnisse deuten auf den fortgesetzten Einsatz fortschrittlicher Ausbeutungstechniken bei mehreren Bedrohungsgruppen hin.
Apple hat Sicherheitsupdates veröffentlicht, die die von Darksword genutzten Schwachstellen adressieren. Forscher schätzen jedoch, dass zwischen 220 Millionen und 270 Millionen Geräte aufgrund des Nicht-Aktualisierens der Nutzer ihrer Software weiterhin exponiert bleiben könnten.
Die Untersuchung identifizierte mehrere aktive Kampagnen, die den Exploit nutzten, wobei Angreifer die Spyware über kompromittierte Webinfrastruktur verbreiteten. Die Forscher sagten, die Aktivität spiegele den fortlaufenden Einsatz browserbasierter Angriffsmethoden für mobile Geräte wider.