DarkSword nhắm mục tiêu vào các thiết bị iPhone chạy iOS 18.4 đến 18.7 và có liên quan đến nhiều nhóm tấn công khác nhau, bao gồm UNC6353 - nhóm này đã sử dụng chuỗi khai thác Coruna được tiết lộ hồi đầu tháng này.
Các nhà nghiên cứu tại công ty bảo mật di động Lookout phát hiện ra DarkSword trong quá trình điều tra cơ sở hạ tầng phục vụ các cuộc tấn công Coruna. Nhóm Tình báo mối đe dọa của Google (GTIG) và iVerify cũng đã hợp tác để phân tích toàn diện hơn về mối đe dọa chưa từng được biết đến này và các tác nhân đe dọa đang lợi dụng nó.
Kết quả phân tích của iVerify cho thấy tất cả các lỗ hổng (thoát khỏi môi trường sandbox, leo thang đặc quyền, thực thi mã từ xa) khai thác trong chuỗi tấn công này đều được biết đến và Apple đã khắc phục chúng trong các bản phát hành iOS mới nhất.
Theo các nhà nghiên cứu, bộ công cụ khai thác DarkSword sử dụng 6 lỗ hổng bao gồm: CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 và CVE-2025-43520.
Cuộc tấn công DarkSword
Trong một báo cáo ngày 18/3, GTIG cho biết DarkSword được một số tác nhân đe dọa sử dụng ít nhất từ tháng 11/2025, chúng triển khai ba họ phần mềm độc hại riêng biệt:
- GHOSTBLADE, một công cụ khai thác dữ liệu bằng JavaScript, đánh cắp nhiều thông tin bao gồm dữ liệu ví tiền điện tử, thông tin hệ thống và kết nối, lịch sử trình duyệt, ảnh, vị trí và khả năng di chuyển, dữ liệu liên lạc từ iMessage, Telegram, WhatsApp, email, cuộc gọi và danh bạ.
- GHOSTKNIFE, phần mềm độc hại có thể đánh cắp nhiều loại dữ liệu khác nhau (tài khoản đăng nhập, tin nhắn, dữ liệu trình duyệt, lịch sử vị trí, bản ghi âm).
- GHOSTSABER, phần mềm độc hại có khả năng liệt kê thiết bị và tài khoản, xem danh sách tệp tin, thực thi mã JavaScript và đánh cắp dữ liệu.
Nhóm tin tặc đầu tiên phát hiện sử dụng chuỗi khai thác này là UNC6748, trong các cuộc tấn công nhắm vào người dùng tại Ả Rập Xê Út thông qua một trang web giả mạo Snapchat.
GTIG cho biết vào cuối tháng 11/2025, DarkSword cũng đã được sử dụng trong hoạt động liên quan đến PARS Defense, một nhà cung cấp phần mềm giám sát thương mại của Thổ Nhĩ Kỳ, trên các thiết bị chạy iOS 18.4-18.7.
“Không giống như hoạt động UNC6748, chiến dịch của PARS Defense được thực hiện chú trọng hơn đến OPSEC, với việc che giấu mã độc được áp dụng cho exploit loader và một số giai đoạn exploit, cũng như sử dụng ECDH và AES để mã hóa các exploit giữa máy chủ và nạn nhân”, GTIG lưu ý.
Đầu năm nay, các nhà nghiên cứu của Google phát hiện DarkSword đang được khai thác nhắm vào nạn nhân tại Malaysia bởi một khách hàng khác của PARS Defense để phát tán mã độc GHOSTSABER.
Thực tế, nhóm UNC6353 sử dụng bộ công cụ khai thác lỗ hổng Coruna từ mùa hè năm ngoái. Vào tháng 12/2025 bắt đầu khai thác các lỗ hổng DarkSword để tấn công các mục tiêu ở Ukraine. Hoạt động này tiếp tục diễn ra cho đến tháng 3/2026 dưới hình thức tấn công watering hole vào các trang web bị xâm nhập, sử dụng phần mềm độc hại GHOSTBLADE để đánh cắp dữ liệu từ các mục tiêu bị xâm nhập.
Nguồn thông tin về các tác nhân đe dọa sử dụng bộ công cụ khai thác DarkSword trên iOS
Theo các nhà nghiên cứu của Lookout, cả Coruna và DarkSword đều cho thấy dấu hiệu mở rộng mã nguồn bằng cách sử dụng sự hỗ trợ của mô hình ngôn ngữ lớn (LLM). Điều này đặc biệt dễ thấy trong trường hợp của DarkSword, với nhiều chú thích giải thích chức năng của code.
Lookout cho biết: “Phần mềm độc hại này rất tinh vi và dường như là một nền tảng thiết kế chuyên nghiệp, cho phép phát triển nhanh chóng các mô-đun thông qua việc truy cập vào một ngôn ngữ lập trình cấp cao. Bước bổ sung này cho thấy nỗ lực đáng kể được đầu tư vào việc phát triển mã độc này, với sự cân nhắc đến khả năng bảo trì, phát triển lâu dài và khả năng mở rộng”.
Chuỗi phân phối DarkSword
Ngoài bộ công cụ DarkSword, iVerify cũng phát hiện ra một lỗ hổng bảo mật trên Safari với các tính năng “thoát khỏi môi trường sandbox, leo thang đặc quyền và nhúng mã độc vào bộ nhớ” đã đánh cắp dữ liệu nhạy cảm từ các thiết bị. Các cuộc tấn công DarkSword bắt đầu trong trình duyệt Safari, nơi nhiều lỗ hổng được sử dụng để giành quyền truy cập đọc/ghi kernel, sau đó thực thi mã thông qua một thành phần điều phối chính (pe_main.js).
Hiện chưa rõ các trang web thực hiện các cuộc tấn công này bị xâm nhập bằng cách nào, nhưng những kẻ tấn công có đủ quyền để cài đặt các iframe độc hại vào mã HTML của các trang web đó.
.png)
Mã độc iframe trên trang web của Chính phủ Ukraine
Công cụ điều khiển sẽ chèn một công cụ JavaScript vào các dịch vụ iOS có quyền truy cập đặc quyền như App Access, Wi-Fi, Springboard, Keychain và iCloud, sau đó kích hoạt các mô-đun đánh cắp dữ liệu (ví dụ GHOSTBLADE) để thu thập các thông tin sau: mật khẩu đã lưu; ảnh, bao gồm ảnh chụp màn hình và các tệp hình ảnh ẩn; cơ sở dữ liệu WhatsApp và Telegram; ví tiền điện tử (Coinbase, Binance, Ledger và các ví khác); tin nhắn văn bản (SMS); sổ địa chỉ; lịch sử cuộc gọi; lịch sử địa điểm; lịch sử trình duyệt; cookie; lịch sử Wi-Fi và mật khẩu; dữ liệu Apple Health; lịch; ghi chú; ứng dụng đã cài đặt và tài khoản đã kết nối.
Đáng chú ý, DarkSword xóa các tệp tin tạm thời và tự động thoát khi dữ liệu trên bị đánh cắp và chuyển đến tay kẻ tấn công, điều này cho thấy nó không được thiết kế cho các hoạt động giám sát dài hạn.
Người dùng iPhone được khuyến nghị nâng cấp lên iOS 26.3.1 (phiên bản mới nhất), được phát hành đầu tháng này và bật chế độ Lockdown Mode nếu có nguy cơ cao bị nhắm mục tiêu bởi phần mềm độc hại.
Trong khi đó, đối với những người sử dụng thiết bị cũ không đủ điều kiện cập nhật lên phiên bản iOS mới nhất, Apple có thể sẽ cập nhật các bản vá lỗi tương tự như đã làm với các lỗ hổng Coruna, nhưng điều này vẫn chưa được xác nhận.
