Un nouvel outil espion identifié, connu sous le nom de Darksword, a été découvert ciblant les iPhones Apple, les chercheurs associant cette activité à des campagnes impliquant des sites web compromis en Ukraine. L’exploit a été découvert par les sociétés de cybersécurité Lookout et iVerify, ainsi que par des chercheurs de Google, qui ont déclaré que l’outil est capable d’extraire des données sensibles des appareils concernés.
Selon l’analyse, le logiciel espion a été déployé via des dizaines de sites web injectés de code malveillant. Les utilisateurs visitant ces sites avec des iPhones vulnérables pourraient être infectés sans interaction supplémentaire. L’activité s’est concentrée sur les appareils fonctionnant sous iOS versions 18.4 à 18.6.2, sorties entre mars et août 2025.
Les chercheurs ont indiqué que l’exploit permet d’accéder à un large éventail d’informations stockées sur les appareils, y compris des messages, des données de localisation et des informations de portefeuilles de cryptomonnaies. L’outil fonctionne en exploitant de multiples vulnérabilités du système d’exploitation, permettant aux attaquants de récupérer des données une fois l’accès établi.
La campagne ne se limite pas à l’Ukraine. Les enquêteurs ont rapporté qu’une activité similaire a été observée dans d’autres pays, notamment en Arabie saoudite, en Turquie et en Malaisie. Certains cas ont été associés à des fournisseurs de surveillance commerciale, tandis que d’autres sont liés à des acteurs présumés liés à l’État.
Les chercheurs ont également noté que le logiciel espion était hébergé sur une infrastructure précédemment utilisée pour un autre exploit iPhone connu sous le nom de Coruna, indiquant un chevauchement entre différentes campagnes et outils. Les résultats indiquent une utilisation continue de techniques d’exploitation avancées auprès de multiples groupes de menaces.
Apple a publié des mises à jour de sécurité pour corriger les vulnérabilités utilisées par Darksword. Cependant, les chercheurs estiment qu’entre 220 et 270 millions d’appareils pourraient rester exposés en raison de la non-mise à jour logicielle des utilisateurs.
L’enquête a identifié plusieurs campagnes actives utilisant l’exploit, les attaquants livrant le logiciel espion via une infrastructure web compromise. Les chercheurs ont indiqué que cette activité reflète l’utilisation continue de méthodes d’attaque basées sur navigateur ciblant les appareils mobiles.