Een nieuw geïdentificeerde spyware-tool, bekend als Darksword, is gevonden die zich richt op Apple iPhones, waarbij onderzoekers de activiteit koppelen aan campagnes met gecompromitteerde websites in Oekraïne. De exploit werd ontdekt door cyberbeveiligingsbedrijven Lookout en iVerify, samen met onderzoekers van Google, die zeiden dat de tool in staat is gevoelige gegevens van getroffen apparaten te extraheren.
Volgens de analyse werd de spyware verspreid via tientallen websites die waren geïnjecteerd met kwaadaardige code. Gebruikers die deze sites bezoeken met kwetsbare iPhones kunnen zonder extra interactie geïnfecteerd raken. De activiteit richtte zich op apparaten met iOS-versies 18.4 tot 18.6.2, die werden uitgebracht tussen maart en augustus 2025.
Onderzoekers zeiden dat de exploit toegang biedt tot een breed scala aan informatie die op apparaten is opgeslagen, waaronder berichten, locatiegegevens en details van cryptocurrency-wallets. De tool werkt door meerdere kwetsbaarheden in het besturingssysteem te exploiteren, waardoor aanvallers gegevens kunnen terughalen zodra toegang is gevestigd.
De campagne beperkt zich niet tot Oekraïne. Onderzoekers meldden dat soortgelijke activiteit is waargenomen in andere landen, waaronder Saoedi-Arabië, Turkije en Maleisië. Sommige zaken zijn in verband gebracht met commerciële surveillanceleveranciers, terwijl andere worden gelinkt aan vermoedelijke staatsgebonden actoren.
Onderzoekers merkten ook op dat de spyware werd gehost op infrastructuur die eerder werd gebruikt voor een andere iPhone-exploit, bekend als Coruna, wat wijst op overlap tussen verschillende campagnes en tools. De bevindingen wijzen op het voortgezet gebruik van geavanceerde exploitatietechnieken bij meerdere dreigingsgroepen.
Apple heeft beveiligingsupdates uitgebracht die de kwetsbaarheden van Darksword aanpakken. Onderzoekers schatten echter dat tussen de 220 miljoen en 270 miljoen apparaten blootgesteld kunnen blijven doordat gebruikers hun software niet bijwerken.
Het onderzoek identificeerde meerdere actieve campagnes die de exploit gebruikten, waarbij aanvallers de spyware via gecompromitteerde webinfrastructuur verspreidden. Onderzoekers zeiden dat de activiteit het voortgezette gebruik van browsergebaseerde aanvalsmethoden is gericht op mobiele apparaten.