DarkSword : Un Kit d'Exploitation iOS Multi-Étapes au Service de l'Espionnage et du Vol de Cryptomonnaies
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis une directive contraignante ordonnant à toutes les agences civiles fédérales (FCEB) de corriger trois vulnérabilités iOS activement exploitées avant le 3 avril 2026. Ces failles font partie d'une chaîne d'exploitation en six étapes utilisée par DarkSword, un framework sophistiqué de livraison d'exploits iOS découvert par des chercheurs en sécurité.
Le framework DarkSword exploite une série de vulnérabilités chaînées — CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 et CVE-2025-43520 — pour réaliser une évasion du bac à sable, une élévation de privilèges et une exécution de code à distance complète sur les iPhones non mis à jour. Apple a corrigé l'ensemble de ces six failles dans ses dernières versions iOS, mais les appareils fonctionnant sous iOS 18.4 à 18.7 restent exposés.
Trois Familles de Malwares Déployées via DarkSword
Les chercheurs en sécurité ont observé trois familles de malwares distinctes déployées via le framework DarkSword. La première, GhostBlade, est un infostealer agressif ciblant les données personnelles et les portefeuilles de cryptomonnaies des victimes. La deuxième, GhostKnife, fonctionne comme une porte dérobée capable d'exfiltrer de larges volumes de données depuis les appareils compromis. La troisième, GhostSaber, est un outil basé sur JavaScript qui exécute du code et vole les données des victimes en parallèle.
Une caractéristique notable de DarkSword est son comportement anti-forensique : le framework efface automatiquement les fichiers temporaires et se désactive après avoir achevé ses opérations de vol de données. Cela suggère qu'il a été délibérément conçu pour des missions de surveillance couverte à court terme, destinées à échapper à la détection par les outils de sécurité et les analystes forensiques.
Acteurs de la Menace et Infrastructures Ciblées
Les chercheurs ont attribué l'activité DarkSword à plusieurs groupes distincts. UNC6748 a été identifié comme client de PARS Defense, un fournisseur commercial turc de logiciels espions. Un deuxième groupe, UNC6353, est évalué comme un acteur d'espionnage russe suspecté. UNC6353 a été observé déployant à la fois les kits d'exploitation DarkSword et Coruna iOS dans des attaques de type watering-hole ciblant des utilisateurs d'iPhone sur des sites web compromis.
Les deux acteurs ont utilisé DarkSword pour cibler des individus d'intérêt stratégique, notamment des journalistes, des défenseurs des droits de l'homme, des diplomates et des responsables gouvernementaux dans différentes régions géographiques. La double utilisation par des clients commerciaux et des acteurs étatiques souligne la menace multidimensionnelle posée par ce framework.
Directive BOD 22-01 de la CISA et Délai de Correction
La CISA a ajouté les trois CVE à son catalogue des Vulnérabilités Exploitées Connues (KEV) et a invoqué la Directive Opérationnelle Contraignante 22-01 pour mandater la correction. Toutes les agences FCEB doivent appliquer les correctifs disponibles avant le 3 avril 2026, faute de quoi elles s'exposeront à des risques de sécurité significatifs.
Apple a publié des mises à jour pour corriger les six vulnérabilités de la chaîne DarkSword dans iOS 18.8 et les versions ultérieures. Les organisations et les particuliers utilisant des iPhones sous iOS 18.4 à 18.7 sont fortement encouragés à mettre à jour immédiatement leurs appareils pour se protéger contre ces exploits activement utilisés.
