6つの脆弱性を用いたiOS向けエクスプロイトチェーン「DarkSword」の存在をGoogleなどが発見

Googleの脅威インテリジェンスグループ(GTIG)が、複数のゼロデイ脆弱性を利用してiOS端末を完全に侵害するフルチェーンエクスプロイトの発見を報告しています。コード内の変数から「DarkSword」と呼ばれているとみられるこのエクスプロイトは、少なくとも2025年11月以降、ロシアから支援を受けたグループがサウジアラビア、トルコ、マレーシア、ウクライナを標的に使用していることが確認されています。

The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors | Google Cloud Blog
https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain

Attackers Wielding DarkSword Threaten iOS Users | Threat Intel
https://www.lookout.com/threat-intelligence/article/darksword

Inside DarkSword: A New iOS Exploit Kit Delivered Via Compromised Legitimate Websites
https://iverify.io/blog/darksword-ios-exploit-kit-explained

直近で「Coruna」と呼ばれるiOS向けエクスプロイトチェーンが発見されていますが、Corunaを用いていたことがわかっているロシアの活動グループ・UNC6353が水飲み場型攻撃にDarkSwordを組み込んでいるとのこと。

アメリカ政府が開発したとみられるハッキングツール群「Coruna」が悪用されiPhoneが狙われたことが判明 - GIGAZINE

CorunaはiOSに存在する23の異なる脆弱性を利用したエクスプロイトで、ある程度古いiOSを標的としており、iOS 26では当該脆弱性は修正済みとなっています。今回のDarkSwordはさらに範囲が狭く、iOS 18.4から18.7で6つの脆弱性を利用して最終段階のペイロードを展開するとのこと。これまでに「GHOSTBLADE」「GHOSTKNIFE」「GHOSTSABER」の3つのマルウェアが確認されています。

GTIGによると、DarkSwordのエクスプロイトのロードに用いられるメカニズムはCorunaよりベーシックなもので堅牢性が低く、すべての段階でJavaScriptが用いられていたとのこと。

DarkSwordは、端末から資格情報を含む広範な個人情報を抜き出すことを目的としており、特に、多数の仮想通貨ウォレットが標的になっています。

攻撃を行っているUNC6353はあまり知られていない脅威アクターで、他の脅威アクターとの関連性は観察されていません。高品質なエクスプロイトチェーンの供給を受けていることから豊富な資金を持ち、人脈も広いものの、技術的にはそれほど洗練されておらず、金銭的利益とロシアの諜報要件に沿ったスパイ活動を行っていると評価されています。

GTIGとともにDarkSwordの発見に貢献したセキュリティ企業・LookoutのLookout Threat Labsは、Corunaに続いてDarkSwordが見つかったことにより、技術的に洗練されたエクスプロイトチェーンの流通市場が存在することが示唆されると憂慮。一方で、対象が最新のiOSではないことから、モバイル端末を迅速に更新して古い端末は置き換えていくことの重要性がさらに増したと述べました。

・つづき
数億台のiPhoneをハックできるエクスプロイト「DarkSword」マルウェアが何者かによって公に流出 - GIGAZINE