在移动安全领域,一款名为DarkSword的iOS漏洞利用工具包正悄然威胁着全球数亿iPhone用户。它完全基于JavaScript构建,无需任何二进制文件即可完成从远程代码执行到内核提权的完整攻击流程。本文将深入分析其技术原理、攻击链与防御建议。

DarkSword概述:JavaScript驱动的全链攻击框架

DarkSword是一套完全基于JavaScript编写的一键式iOS攻击框架,支持iOS 18.4至18.7版本。它通过六个安全漏洞实现从Safari远程代码执行到内核权限提升的完整入侵流程,并配套三个不同能力层级的恶意载荷家族,可实现设备全量敏感数据窃取与远程控制。

该工具包最早于2025年11月被谷歌威胁情报小组在野攻击中监测到。截至2026年3月,已确认被至少三个不同背景的威胁组织用于全球多地攻击活动,包括疑似俄罗斯背景的间谍组织UNC6353、针对中东地区的攻击集群UNC6748,以及土耳其商业监控厂商PARS Defense。攻击目标覆盖乌克兰、沙特阿拉伯、土耳其、马来西亚等国家和地区。

结合全球iOS版本市场份额数据测算,该漏洞链直接影响全球约14.2%的iPhone用户,对应设备规模约2.2152亿台。如果将范围扩大至iOS 18全系列未修复版本,潜在受影响用户占比达到17.3%,对应设备规模约2.7亿台。

威胁发现与联合调查过程

2026年初,Coruna iOS漏洞工具包相关研究发布后,Lookout威胁实验室针对投放该恶意软件的威胁组织相关恶意基础设施启动持续追踪分析。在分析与UNC6353组织相关联的cdn.uacounter.com域名时,研究人员发现了一个命名、架构高度同源的恶意域名cddcounter.net。该域名与原域名共享域名服务器、注册商、注册时间,部分子域名的IP解析也存在明显重叠。

通过威胁情报平台监测该域名的子域名static.cdncounter.net时,研究人员发现该域名与两个被攻陷的乌克兰网站存在JavaScript代码关联,分别是顿巴斯新闻社官网novosti.dn.ua,以及乌克兰第七行政上诉法院官网7aac.gov.ua。其中7aac.gov.ua在此前曾被植入指向cdn.uacounter.com的恶意代码,用于投放Coruna恶意软件的水坑攻击。

研究人员对两个被攻陷网站的源码展开深度分析,在页面HTML中发现了指向static.cdncounter.net的活跃恶意iframe,以及用于生成该iframe的JavaScript代码。深入分析后发现,iframe加载的核心文件为rce_loader.js,该脚本的核心功能是对访问网站的设备进行系统版本指纹识别,仅针对iOS 18.4至18.6.2版本的设备分发漏洞利用代码。这一特征让研究人员确认,这是一套此前未被披露的全新iOS漏洞利用工具包。

攻击链技术原理与执行流程

DarkSword是一套全程基于JavaScript实现的全链攻击框架,全程无需注入任何Mach-O格式的二进制文件,能够规避苹果针对未签名代码设置的PPL、SPTM等核心防护机制。完整攻击流程分为七个核心环节,各环节形成闭环。

初始访问与载荷投放

攻击者通过攻陷合法网站发起水坑攻击,在网站首页HTML中嵌入不可见的恶意iframe,指向攻击载荷分发服务器。不同威胁组织的初始投放逻辑存在差异,但核心框架保持一致。

UNC6353组织在被攻陷的乌克兰政府与新闻网站中,植入尺寸为1px×1px的透明iframe,直接加载static.cdncounter.net的攻击载荷,仅通过IP地址限制,仅向乌克兰地区的用户分发漏洞利用代码。

UNC6748组织搭建了仿Snapchat的钓鱼网站,通过会话存储中的uid密钥实现重复感染防护,非iPhone设备或非Safari浏览器访问时,会被强制通过x-safari-https协议跳转至Safari浏览器打开页面。

PARS Defense组织在初始页面加入了严格的设备指纹识别规则,覆盖Apple Pay支持情况、浏览器特性、WebGL2支持状态、调试器检测等多个校验维度,未通过校验的访问目标会被双重重定向至合法网站,大幅降低了非目标设备的攻击暴露风险。

核心漏洞利用链

漏洞加载器会根据设备的iOS版本,加载对应的漏洞利用模块。针对iOS 18.4与18.5版本,攻击者利用CVE-2025-31277漏洞,该漏洞为JavaScriptCore引擎中JIT正则表达式匹配逻辑引发的类型混淆漏洞。针对iOS 18.6至18.7版本,攻击者利用CVE-2025-43529漏洞,该漏洞为JavaScriptCore引擎数据流图JIT层的写屏障缺失漏洞。

两个远程代码执行漏洞均配套CVE-2026-20700漏洞的利用代码,实现对苹果指针认证码与可信路径只读防护机制的绕过。该漏洞根因在于dyld的dlopen_from函数中,加载器相关的向量数据被存储在常规栈内存,攻击者可滥用栈上可写的dyld敏感内部结构,绕过指针签名校验与内存保护机制。

沙箱逃逸与内核提权

攻击者利用CVE-2025-14174漏洞从权限严格隔离的WebContent渲染进程突破至Safari GPU进程,该漏洞为ANGLE组件的参数校验缺失漏洞。随后利用CVE-2025-43510漏洞从GPU进程突破至mediaplaybackd系统守护进程,该漏洞为XNU内核的写时复制机制漏洞。最后在mediaplaybackd进程中执行pe_main.js提权模块,利用CVE-2025-43520漏洞实现内核权限提升,获取设备的完全控制权。

恶意载荷功能与数据窃取范围

DarkSword工具包配套三个不同能力的恶意载荷家族,均为纯JavaScript实现,无持久化机制,攻击完成后会清理痕迹并退出。

GHOSTBLADE载荷

GHOSTBLADE是DarkSword原生开发的标准载荷,由UNC6353组织使用,定位为轻量化定向数据窃取程序,无远程控制后门能力。该载荷的核心功能是覆盖七大类核心隐私数据的采集与外传,包括iMessage、Telegram、WhatsApp的全量聊天数据,设备钥匙串与密钥包,WiFi密码,位置历史记录,照片元数据,加密货币钱包文件,Safari浏览历史、书签与Cookie数据,以及设备健康数据库等内容。

GHOSTKNIFE载荷

GHOSTKNIFE是UNC6748组织定制开发的全功能远程控制后门程序。该载荷的核心功能包括全量隐私数据窃取,覆盖已登录账户、短信与社交软件消息、浏览器数据、位置历史、录音、照片与文件等内容。同时具备完整的远程控制能力,支持从命令控制服务器下载文件、设备截屏、麦克风实时录音、执行任意代码,还可从服务端获取新参数实时调整攻击配置。

GHOSTSABER载荷

GHOSTSABER是PARS Defense定制开发的模块化可扩展后门程序。该载荷的基础功能包括设备信息枚举、已登录账户与已安装应用列表采集、文件系统递归枚举、定向数据窃取、任意SQLite数据库查询、照片缩略图批量窃取、指定应用与文件全量上传、正则匹配批量文件窃取,以及任意JavaScript代码执行,可动态扩展攻击功能。

受影响范围与风险评估

DarkSword工具包的原生配置覆盖iOS 18.4至18.6.2版本,PARS Defense的定制版本已扩展支持iOS 18.7版本。所有相关漏洞均已在iOS 18.7.2、18.7.3、18.7.6,以及iOS 26.1、26.2、26.3、26.3.1版本中完成修复。

时间

核心事件

2025 年 7 月 29 日

苹果在 iOS 18.6 版本中修复 CVE-2025-31277 漏洞,该漏洞为 DarkSword 针对 iOS 18.4 版本使用的核心远程代码执行漏洞

2025 年夏季

谷歌威胁情报小组首次监测到 UNC6353 组织利用 Coruna 工具包,针对乌克兰网站发起水坑攻击

2025 年 11 月初

谷歌威胁情报小组监测到 UNC6748 组织搭建仿 Snapchat 的钓鱼网站 snapshare [.] chat,针对沙特阿拉伯用户发起 DarkSword 攻击,初始版本仅支持 iOS 18.4 系统

2025 年 11 月中旬

UNC6748 组织更新攻击链,新增对 iOS 18.6 版本的支持,配套 CVE-2025-43529 漏洞的利用模块

2025 年 11 月下旬

UNC6748 组织新增对 iOS 18.7 版本的支持;同期谷歌威胁情报小组监测到土耳其商业监控厂商 PARS Defense 在土耳其境内发起攻击,实现对 iOS 18.4 至 18.7 全版本的适配

2025 年 12 月

苹果在 iOS 18.7.2 与 26.1 版本中修复 CVE-2025-43510 与 CVE-2025-43520 两个内核相关漏洞;UNC6353 组织开始使用 DarkSword 针对乌克兰发起新的水坑攻击

2025 年 12 月 12 日

苹果在 iOS 18.7.3 与 26.2 版本中修复 CVE-2025-43529 与 CVE-2025-14174 两个漏洞

2026 年 1 月

谷歌威胁情报小组监测到 PARS Defense 的客户在马来西亚发起攻击,新增严格的设备指纹识别与反分析逻辑

2026 年 2 月 11 日

苹果在 iOS 26.3 版本中修复 CVE-2026-20700 漏洞,该漏洞为 DarkSword 全版本通用的 PAC 与 TPRO 防护绕过漏洞

2026 年 2 月 12 日

Lookout 研究人员监测到乌克兰一家食品加工企业的员工设备,已被 DarkSword 成功入侵

2026 年 3 月

UNC6353 组织针对乌克兰的水坑攻击仍在持续,谷歌威胁情报小组与乌克兰计算机应急响应小组合作完成了攻击缓解;三方联合发布 DarkSword 完整研究报告

该工具包的出现与快速扩散,标志着国家级iOS漏洞利用能力已通过二级市场向商业监控厂商、网络犯罪团伙快速渗透。基于合法网站攻陷的水坑攻击,已成为移动端高风险的主流威胁向量。

[AFFILIATE_SLOT_1]

防御建议与安全启示

核心防御建议:

  • ✅ 及时更新iOS系统至最新版本,修复已知漏洞
  • ✅ 避免在非信任网站上使用Safari浏览器
  • ✅ 安装可靠的安全软件,监控异常网络行为
  • ✅ 定期备份设备数据,降低数据丢失风险

⚠️ 深层安全启示:

  • JavaScript作为攻击载体的潜力远超预期,纯脚本攻击链可规避众多二进制防护机制
  • 水坑攻击仍然是针对高价值目标的高效初始访问方式
  • 漏洞利用工具的商品化与扩散趋势加剧,威胁组织间的技术壁垒正在降低
[AFFILIATE_SLOT_2]

结语

DarkSword工具包的出现,标志着移动端漏洞利用技术进入新阶段。完全基于JavaScript的攻击链、无需二进制文件的提权路径、以及模块化的载荷设计,都为安全防御带来了全新挑战。对于普通用户而言,保持系统更新、谨慎浏览网页是最有效的防护手段;对于安全团队而言,则需要持续关注此类基于Web的攻击向量,并加强水坑攻击的监测能力。