Darksword adlı yeni bir casus yazılım aracı bulundu ve araştırmacılar bu etkinliği Ukrayna’daki tehlikeye atılmış web siteleriyle ilgili kampanyalarla ilişkilendirdi. Bu hassiç, siber güvenlik firmaları Lookout ve iVerify ile Google’dan araştırmacılar tarafından keşfedildi; araştırmacılar, aracın etkilenen cihazlardan hassas verileri çıkarabildiğini söylediler.
Analize göre, casus yazılım onlarca web sitesi aracılığıyla ve zararlı kod enjekte edilmiş olarak kullanıldı. Bu siteleri savunmasız iPhone’larla ziyaret eden kullanıcılar, ek etkileşim olmadan enfekte olabilir. Faaliyet, Mart ile Ağustos 2025 arasında yayınlanan iOS 18.4 ile 18.6.2 sürümlerini çalıştıran cihazlara odaklandı.
Araştırmacılar, bu haistilin, mesajlar, konum verileri ve kripto para cüzdanı bilgileri dahil olmak üzere cihazlarda depolanan çok çeşitli bilgilere erişim sağladığını belirtti. Araç, işletim sistemindeki birden fazla güvenlik açığını kullanarak çalışır ve saldırganların erişim sağlandıktan sonra verileri geri almasını sağlar.
Kampanya sadece Ukrayna ile sınırlı değil. Araştırmacılar, benzer faaliyetlerin Suudi Arabistan, Türkiye ve Malezya dahil diğer ülkelerde de gözlemlendiğini bildirdi. Bazı vakalar ticari gözetim satıcılarıyla ilişkilendirilirken, diğerleri şüpheli devlet bağlantılı aktörlerle bağlantılıdır.
Araştırmacılar ayrıca casus yazılımın daha önce Coruna olarak bilinen başka bir iPhone istismarı için kullanılan altyapıda barındırıldığını belirtti; bu da farklı kampanyalar ve araçlar arasında örtüşme olduğunu gösteriyor. Bulgular, birden fazla tehdit grubunda gelişmiş sömürü tekniklerinin devam ettiğini gösteriyor.
Apple, Darksword’un kullandığı güvenlik açıklarını ele alan güvenlik güncellemeleri yayınladı. Ancak araştırmacılar, kullanıcıların yazılımlarını güncellememesi nedeniyle 220 milyon ile 270 milyon arasında cihazın maruz kalabileceğini tahmin ediyor.
Soruşturma, bu istismarı kullanan birçok aktif kampanyayı tespit etti ve saldırganlar casus yazılımı ele silmiş web altyapısı üzerinden dağıttı. Araştırmacılar, bu etkinliğin mobil cihazları hedef alan tarayıcı tabanlı saldırı yöntemlerinin devam eden kullanımını yansıttığını belirtti.