DarkSword 漏洞鏈的多方面利用與擴散風險

Google 威脅情報小組在 2025 年 11 月以來發現名為「DarkSword」的 iOS 完整漏洞鏈遭多個威脅行為體採用。該漏洞鏈利用六個零日漏洞完全破壞設備，已在沙烏地阿拉伯、土耳其、馬來西亞和烏克蘭等地針對目標發起攻擊，反映出單一漏洞工具包在不同威脅行為體間擴散的危險趨勢。

支援版本與部署方式

DarkSword 支援 iOS 18.4 至 18.7 版本，利用六個不同的漏洞部署最終階段的 payload。Google 威脅情報小組已識別三個不同的惡意軟體家族：「GHOSTBLADE」、「GHOSTKNIFE」和「GHOSTSABER」。該漏洞鏈的擴散模式與此前發現的 Coruna iOS 漏洞工具包相似，值得注意的是，曾使用 Coruna 的俄羅斯間諜組織 UNC6353 已納入 DarkSword 進行水坑式攻擊。

威脅行為體與攻擊活動

• UNC6748 與沙烏地阿拉伯目標：2025 年 11 月初，該威脅集群透過 Snapchat 主題的虛假網站（snapshare[.]chat）針對沙烏地阿拉伯使用者。網站使用混合混淆技術，動態注入 JavaScript 程式碼。該行為體在整個 11 月進行多次更新，包括添加反調試和增強混淆，以及針對 Chrome 使用者的額外程式碼。儘管後續更新存在邏輯缺陷（未正確處理 iOS 18.7），但最終修正了該問題。

• PARS Defense 與土耳其及馬來西亞活動：土耳其商業監控廠商 PARS Defense 在 2025 年 11 月晚期於土耳其開展行動，之後在 2026 年 1 月於馬來西亞針對不同客戶進行活動。該行為體的操安措施更為謹慎，對漏洞載入器進行混淆、使用 ECDH 和 AES 加密，並正確取得對應 iOS 版本的遠端程式碼執行漏洞。

• UNC6353 的烏克蘭水坑式活動：俄羅斯間諜組織 UNC6353 自 2025 年 12 月起透過受威脅的烏克蘭網站投放 DarkSword，針對烏克蘭使用者。該活動透過注入惡意指令碼標籤，從伺服器（static.cdncounter[.]net）獲取第一階段 payload。儘管此版本僅支援 iOS 18.4-18.6，但其載入器邏輯比早期使用者的實現更正確。

三個 Payload 家族的功能對比

• GHOSTKNIFE：由 UNC6748 部署的 JavaScript 後門，具備多個資料竊取模組，包括已登入帳號、訊息、瀏覽器資料、位置歷史和錄音。支援從 C2 伺服器下載檔案、擷取螢幕截圖和錄製麥克風音訊，使用 ECDH 與 AES 加密的自訂二進位協議通訊。為掩蓋蹤跡，會定期清除裝置上的當機日誌。

• GHOSTSABER：PARS Defense 使用的 JavaScript 後門，支援裝置和帳號列舉、檔案列表、資料竊取和執行任意 JavaScript 程式碼。部分命令包含錄音和地理位置傳送功能的程式碼參考，但實現不完整，可能由後續下載的二進位模組補充。

• GHOSTBLADE：UNC6353 部署的資料竊取工具，功能相對較弱，無額外模組或後門功能，不持續運行。同樣包含清除當機報告的程式碼，內含完整除錯記錄和大量程式碼註解。樣本中發現對 iOS 18.4 及以上版本的條件執行程式碼，表明其可支援低於 DarkSword 最低版本的 iOS。

漏洞鏈技術分析

與 Coruna 不同，DarkSword 採用純 JavaScript 完成所有漏洞階段和最終 payload，無需識別繞過頁面保護層（PPL）或安全頁面表監視（SPTM）防護的漏洞。漏洞鏈包含：

• CVE-2025-31277 與 CVE-2025-43529：JavaScriptCore 的記憶體損壞漏洞，分別針對 iOS 18.4-18.5 和 18.6-18.7
• CVE-2026-20700：dyld 的 Pointer Authentication Codes（PAC）繞過漏洞
• CVE-2025-14174：ANGLE WebGL 操作驗證不足，導致 Safari GPU 程序越界記憶體操作
• CVE-2025-43510：XNU 記憶體管理漏洞（寫時複製缺陷）
• CVE-2025-43520：XNU 虛擬檔案系統的核心模式競賽條件

補丁與緩解建議

Google 威脅情報小組於 2025 年晚期向 Apple 報告所有漏洞，大部分已在 iOS 18.7.2、18.7.3 及 iOS 26.1 至 26.3 版本中修補。該小組已將 DarkSword 相關網域新增至 Safe Browsing，強烈敦促使用者更新至最新 iOS 版本；若無法更新，建議啟用鎖定模式以增強安全防護。本研究與 Lookout 及 iVerify 等業界夥伴協調發佈。