DarkSword: nová sada exploitů pro iPhone zneužívaná státními aktéry i komerčními prodejci spywaru
Výzkumníci z Lookout, iVerify a Google zveřejnili koordinované analýzy exploit kitu označovaného jako DarkSword, který kombinuje šest zranitelností iOS – z nichž tři jsou zero-day – a umožňuje plné převzetí zařízení pouhou návštěvou kompromitované webové stránky. Záplata je dostupná v iOS 18.7.6 a iOS 26.3.1.
DarkSword je exploit kit – sada připravených nástrojů pro zneužití zranitelností – navržená pro operační systém iOS od Apple. Na rozdíl od zranitelností, které vyžadují fyzický přístup k zařízení nebo aktivní součinnost oběti ve formě instalace aplikace, DarkSword pracuje jako tzv. watering hole attack: útočníci kompromitují legitimní webové stránky a čekají, až je navštíví uživatelé. Samotná návštěva stránky z vulnerable iPhone spustí exploit chain – automatizovanou sérii kroků, která vede k úplnému kompromitování zařízení. Uživatel nic neinstaluje, nic nestahuje a nestiskne žádné podezřelé tlačítko.
Kompromitované stránky, na nichž byl DarkSword v posledních měsících nasazen, pocházejí zejména z Ukrajiny – jde o desítky webů, jejichž provozovatelé o kompromitaci nevěděli. Kampaně s využitím DarkSword byly identifikovány od listopadu 2025 a jsou aktivní do dnešního dne. Geograficky jsou cíle distribuovány v Saúdské Arábii, Turecku, Malajsii a na Ukrajině.
Exploit chain DarkSword využívá celkem šest zranitelností. Tři z nich byly v době zneužití zero-day, tedy veřejně neznámé a neopravené: CVE-2025-31277 (memory corruption a JIT type confusion v JavaScriptCore, tj. ve webovém engine Safari), CVE-2025-43529 a CVE-2026-20700 (bypass mechanismu Pointer Authentication Codes v dyld, komponentě zodpovědné za zavádění sdílených knihoven). Zbývající tři – CVE-2025-14174, CVE-2025-43510 a CVE-2025-43520 – byly opraveny v předchozích iOS aktualizacích, ale na nezáplatovaných zařízeních jsou stále zneužitelné. Řetěz útoku začíná v prohlížeči Safari a postupně eskaluje oprávnění až na úroveň jádra systému (kernel privileges), čímž útočník získá přístup k celému zařízení.
Po úspěšném kompromitování útočníci nasazují jeden ze tří malwarových payloadů, které výzkumníci pojmenovali GHOSTKNIFE, GHOSTBLADE a GHOSTSABER. GHOSTKNIFE je JavaScript backdoor schopný exfiltrace dat přímo z webového kontextu. GHOSTBLADE, využívaný zejména v ukrajinských kampaních, je plnohodnotný infostealer s přístupem k souborovému systému, zprávám, fotografiím, uloženým heslům a obsahu kryptoměnových peněženek. GHOSTSABER slouží k perzistentnímu přístupu a vzdálenému ovládání.
DarkSword využívá více skupin útočníků, což jej odlišuje od klasického státního spywaru jako Pegasus, který jeho provozovatel prodával exkluzivně vládám. Platforma DarkSword se naopak etablovala jako produkt dostupný různým zákazníkům – státním zpravodajským skupinám i komerčním surveillance vendorům. Jedním z nejvýraznějších aktérů je skupina označená jako UNC6353, kterou výzkumníci považují za ruskou espionážní skupinu. Ta vedla watering hole kampane specificky zaměřené na ukrajinské uživatele a v minulosti využívala také podobný exploit kit Coruna – ten byl odhalen na začátku března 2026 jako první iOS exploit kit tohoto měsíce.
Zranitelné jsou iPhony running iOS 18.4 až 18.6.x. Podle odhadů iVerify a Lookout ke dni zveřejnění přesahuje počet potenciálně zasažených zařízení 220 milionů. Apple vydal záplaty pro všech šest zranitelností v iOS 18.7.6 a iOS 26.3.1. Uživatelé by měli aktualizovat ihned – nastavení lze ověřit v Nastavení → Obecné → Aktualizace softwaru. V prostředích, kde jsou iPhony spravovány jako pracovní zařízení (MDM), je prioritizace záplaty na straně správce. Vzhledem k charakteru útoku (watering hole přes Safari) nepomáhá jako ochrana vyhýbání se podezřelým přílohám nebo odkazům v e-mailu; rozhodující je verze iOS.
Další články
EDPB spouští koordinovanou enforcement akci pro rok 2026: 25 dozorových úřadů prověří informační povinnosti správců
DarkSword: nová sada exploitů pro iPhone zneužívaná státními aktéry i komerčními prodejci spywaru
