Powstał nowy, zaawansowany zestaw exploitów wymierzony w użytkowników iPhone’ów. Narzędzie o nazwie DarkSword pokazuje, że nawet platformy uznawane za jedne z najbezpieczniejszych mogą stać się celem masowych i wyrafinowanych ataków. Co szczególnie niepokojące, exploit ten umożliwia nie tylko kradzież danych, ale także pełne przejęcie urządzenia – i to niemal bez wiedzy użytkownika.

Autor: 5 min czytania

Nowa generacja cyberbroni mobilnej

DarkSword to kompleksowy zestaw exploitów (exploit kit), który według badaczy jest aktywnie wykorzystywany co najmniej od listopada 2025 roku przez różne grupy zagrożeń, w tym podmioty powiązane z cyberwywiadem państwowym.

Ataki odnotowano m.in. w Ukrainie, Arabii Saudyjskiej, Turcji i Malezji, co wskazuje na zastosowania zarówno szpiegowskie, jak i finansowe. Szczególnie interesujący jest fakt, że DarkSword pojawił się krótko po wykryciu innego zestawu exploitów – Coruna, co sugeruje rozwój wtórnego rynku handlu podatnościami i gotowymi narzędziami do włamań.

Eksperci podkreślają, że dostępność takich narzędzi oznacza zmianę paradygmatu: zaawansowane cyberataki przestają być domeną wyłącznie państw, a zaczynają trafiać do szerszego grona cyberprzestępców.

Jak działa atak DarkSword?

DarkSword wykorzystuje łańcuch sześciu podatności w systemie iOS, w tym aż trzech typu zero-day (czyli wcześniej nieznanych producentowi).

Atak najczęściej realizowany jest poprzez tzw. one-click exploit – wystarczy wejście na spreparowaną stronę internetową. W praktyce często stosowana jest technika waterhole attack, w której atakujący infekują legalne strony odwiedzane przez konkretną grupę użytkowników.

Łańcuch exploitów obejmuje kilka etapów technicznych:

  • Remote Code Execution (RCE) w przeglądarce Safari – umożliwia uruchomienie złośliwego kodu,
  • sandbox escape – wyjście poza ograniczenia aplikacji,
  • eskalację uprawnień – uzyskanie pełnej kontroli nad systemem,
  • implanty w pamięci (fileless malware) – działające bez zapisu na dysku, trudne do wykrycia.

Taka architektura pozwala na niemal natychmiastowe przejęcie urządzenia.

Kradzież danych w trybie „hit-and-run”

Jedną z najbardziej charakterystycznych cech DarkSword jest sposób działania określany jako „hit-and-run”. Oznacza to, że malware:

  • szybko zbiera dane (w ciągu sekund lub minut),
  • przesyła je na serwery atakującego,
  • usuwa swoje ślady z urządzenia.

Zakres wykradanych informacji jest bardzo szeroki i obejmuje:

  • wiadomości SMS i iMessage,
  • kontakty i historię połączeń,
  • dane lokalizacyjne,
  • pliki z iCloud,
  • zapisane hasła i dane uwierzytelniające,
  • portfele kryptowalut.

Brak trwałej instalacji (tzw. fileless attack) sprawia, że po restarcie urządzenia ślady infekcji mogą zniknąć, co znacząco utrudnia analizę incydentu.

Skala zagrożenia i kontekst globalny

Szacuje się, że podatne na atak były setki milionów urządzeń działających na iOS 18.x, szczególnie w wersjach 18.4-18.7.

Co istotne, exploit był wykorzystywany nie tylko w precyzyjnych operacjach szpiegowskich, ale również w szerzej zakrojonych kampaniach. To sygnał, że:

  • rynek exploitów mobilnych dynamicznie się rozwija,
  • narzędzia klasy „cyberwojskowej” trafiają do komercyjnych podmiotów,
  • granica między cyberprzestępczością a cyberwojną zaczyna się zacierać.

Wnioski i znaczenie dla bezpieczeństwa

DarkSword jest kolejnym dowodem na to, że zagrożenie mobilne wchodzi w nową fazę – bardziej agresywną i masową. Łączenie wielu podatności w jeden łańcuch exploitów, wykorzystanie zero-day oraz technik bezplikowych sprawia, że wykrycie i obrona stają się coraz trudniejsze.

Najważniejszym środkiem ochrony pozostaje aktualizacja systemu – Apple załatało już wykorzystywane luki, jednak wiele urządzeń nadal działa na podatnych wersjach.

DarkSword pokazuje też, że użytkownik końcowy ma coraz mniejszy wpływ na swoje bezpieczeństwo – pojedyncze kliknięcie w link może wystarczyć, aby utracić kontrolę nad urządzeniem.

Podsumowanie

DarkSword to przykład nowoczesnej cyberbroni mobilnej: szybki, skuteczny i trudny do wykrycia. Jego pojawienie się potwierdza rosnącą profesjonalizację rynku exploitów oraz fakt, że nawet najbardziej zaawansowane systemy nie są odporne na skoordynowane ataki. W nadchodzących latach podobne narzędzia mogą stać się jeszcze łatwiej dostępne – a tym samym groźniejsze dla zwykłych użytkowników.