2026 年 3 月,Google Threat Intelligence Group(GTIG)、Lookout Threat Labs 和 iVerify 三家安全机构联合公布了一款名为 DarkSword 的全新 iOS 漏洞利用工具包。这是一条完整的零点击攻击链,利用多个零日漏洞实现从 Safari 浏览器到内核级权限的全面突破,已被多个商业间谍软件供应商和疑似国家行为者实际用于针对沙特阿拉伯、土耳其、马来西亚、乌克兰等地用户的真实攻击。

DarkSword 是什么?
DarkSword 是一套纯 JavaScript 实现的 iOS 漏洞利用套件(exploit kit),无需用户点击任何链接或安装 App,仅需访问被攻陷的合法网站(watering hole 攻击),就能在几秒至几分钟内完成攻击并窃取数据,随后自动清理痕迹,呈现典型的“hit-and-run”模式。它支持 iOS 18.4 至 18.7 系列(部分报告聚焦 18.4–18.6.2),并最终部署三种不同的恶意载荷:GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER。

与以往 iOS 漏洞链不同,DarkSword 完全绕过了 PPL(Page Protection Layer)和 SPTM(Secure Page Table Monitor)等现代防护,全程使用 JavaScript 完成所有阶段,无需传统二进制植入或持久化机制,开发和部署门槛极低。
完整攻击链(六漏洞联动)

根据三份报告的交叉验证,DarkSword 攻击链分为以下关键阶段:
初始接入(Watering Hole):受害者访问被注入恶意 iframe 的合法网站(如乌克兰新闻站点、Snapchat 主题站点),加载 rce_loader.js 等脚本。脚本会进行设备指纹识别,仅针对特定 iOS 版本发动攻击。
Safari 远程代码执行(RCE):利用 JavaScriptCore 的 JIT 优化或垃圾回收漏洞,在 WebContent 进程中获得任意内存读写原语。
PAC 与 TPRO 绕过:通过 dyld 结构操作实现 Pointer Authentication Codes(PAC)绕过,获得 WebContent 进程内的任意代码执行能力。
沙盒逃逸至 GPU 进程:利用 ANGLE(WebGPU 后端)的内存越界写漏洞,从 WebContent 进程跳转至 GPU 进程。
进一步逃逸至 mediaplaybackd:利用内核内存管理(Copy-On-Write)漏洞,通过 XPC 接口注入 mediaplaybackd 守护进程。
内核权限提升:利用 XNU 虚拟文件系统(VFS)的竞态条件,获得内核级读写权限,随后将 JavaScript 载荷注入 SpringBoard、configd、wifid、securityd 等系统进程,实现数据采集与外发。
整个链条高度模块化,根据 iOS 版本动态加载对应脚本(如 rce_worker_18.4.js、rce_worker_18.6.js)。
具体漏洞与 CVE(已全部修复)

三份报告共同披露的六个漏洞如下(iVerify 报告提供最完整列表):
- CVE-2025-31277:JavaScriptCore JIT 类型混淆/内存损坏(iOS 18.4)
- CVE-2025-43529:JavaScriptCore 垃圾回收 UAF(iOS 18.6–18.6.2)
- CVE-2026-20700:dyld 用户态 PAC 绕过
- CVE-2025-14174:ANGLE GPU 进程内存越界写
- CVE-2025-43510:内核 Copy-On-Write 内存管理漏洞
- CVE-2025-43520:XNU VFS 内核竞态条件
Apple 已于 iOS 18.6、18.7.3、18.7.2 以及 iOS 26.x 系列中陆续修复全部漏洞。目前运行最新版本的用户已完全不受影响。
威胁行为者与目标
- UNC6353(疑似俄罗斯关联):针对乌克兰用户,使用 GHOSTBLADE 载荷,曾同时使用 Coruna 工具包。
- UNC6748:针对沙特阿拉伯用户,使用 GHOSTKNIFE。
- PARS Defense:土耳其商业间谍软件供应商(服务马来西亚客户),使用 GHOSTSABER。
攻击者特别关注加密货币钱包(Coinbase、Binance、MetaMask、Ledger 等),显示出明显的财务动机,同时也窃取 iMessage、WhatsApp、Telegram、照片、Health 数据、WiFi 密码等。
受影响规模与时间线
全球约 2.2–2.7 亿台设备曾处于风险中(占 iOS 用户约 14–17%)。攻击最早于 2025 年 11 月被发现,2026 年 3 月三家公司协调披露。目前 UNC6353 等行为者仍在活跃使用。
如何立即自保?
- 立刻更新 iOS 到最新版本(iOS 18.7.3 或更高 / iOS 26.x 系列)。这是最有效、最彻底的防护措施。
- 高价值用户开启锁定模式(设置 → 隐私与安全性 → 锁定模式)。
- 开启 Apple 的 Safe Browsing 和设备妥协检测功能,避免访问可疑网站。
结语
DarkSword 的出现再次证明:iOS 生态虽安全,但零日漏洞链一旦被商业化或泄露,攻击门槛将大幅降低。Google GTIG、Lookout 和 iVerify 的联合披露为全球用户提供了及时、透明的技术细节,也为 Apple 的快速修复提供了有力支持。
行动起来:现在就拿起手机,前往 设置 → 通用 → 软件更新
,确认已安装最新补丁。更新完成后,DarkSword 对你而言就彻底失效了。
IOC



参考来源:
- Google GTIG 官方报告https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain
- Lookout Threat Labs 官方报告https://www.lookout.com/threat-intelligence/article/darksword
- iVerify 官方技术分析https://iverify.io/blog/darksword-ios-exploit-kit-explained
网络安全情报攻防站
www.libaisec.com
综合性的技术交流与资源共享社区
专注于红蓝对抗、攻防渗透、威胁情报、数据泄露
