加密圈最近不太平,iOS用户也开始瑟瑟发抖。The Hacker News刚爆出DarkSword这个全新的iOS全链漏洞武器库,从去年11月起已经被多家威胁团伙轮番上手,目标直指沙特、土耳其、马来西亚、乌克兰的用户。Google威胁情报组、iVerify、Lookout三家几乎同时抛出报告,确认这个kit至少包含6个漏洞,其中CVE-2026-20700、CVE-2025-43529、CVE-2025-14174三个是真·零日,被苹果修补前就已经在野外疯狂收割。
这个DarkSword主打速战速决。用户只要用Safari打开被植入恶意iframe的网页,JavaScript就会立刻指纹识别你的设备。如果iOS版本落在18.4到18.7之间,攻击链直接启动。整个过程不需要你点任何东西,几十秒到几分钟内就能把设备翻个底朝天,然后迅速擦除痕迹跑路。Lookout直接管它叫“hit-and-run”式偷数据,干净利落。
偷什么?几乎把你手机里所有值钱的东西都打包带走。凭证、iCloud文件、联系人、短信、Safari历史和cookie、照片、通话记录、Wi-Fi密码、定位历史、日历、SIM卡信息、已安装App列表……最狠的是,它专门盯着一堆加密钱包和交易所App。Telegram、WhatsApp聊天记录,Apple自家的Notes、健康数据,全都不放过。Lookout直言,这套链条明显透着财务动机,偷加密资产的味道太浓了。
技术细节也够硬核。攻击从JavaScriptCore的内存破坏漏洞(CVE-2025-31277或CVE-2025-43529)开始,拿到远程代码执行,再用CVE-2026-20700绕过dyld的PAC验证。接着利用CVE-2025-14174和CVE-2025-43510逃出WebContent沙箱,注入到mediaplaybackd这个媒体播放守护进程里。最后靠CVE-2025-43520完成内核提权,实现任意读写和函数调用。整个链条用JavaScript写成,模块化设计,扩展性极强,明显是专业团队打磨出来的产品。
有趣的是,DarkSword并非持久驻留型间谍软件。它不像传统Pegasus那样长期蛰伏监听,而是拿到数据就跑。代码里几乎没怎么混淆,iframe的HTML也裸奔,接收端服务器文件名直接叫DarkSword File Receiver,这种粗糙的OPSEC让研究人员直呼离谱。Lookout甚至怀疑,使用它的UNC6353可能根本不是顶级工程团队,或者压根不在乎被抓包。
UNC6353这个团伙本身也很神秘。已知它同时用过上个月刚曝光的Coruna套件,通过乌克兰被劫持网站大面积洒水坑攻击。现在又换DarkSword继续干活。Google认为它技术水平一般,但资金充裕,能连续搞到顶级iOS 0day链条,动机高度吻合俄罗斯情报需求。Lookout更直接点名:这可能是个俄罗斯背景的“私掠船”或犯罪代理人,兼顾情报搜集和加密货币盗窃。
除了UNC6353,DarkSword还被另外两个玩家用过。UNC6748去年11月针对沙特用户,伪装成Snapchat主题网站snapshare[.]chat,投放GHOSTKNIFE后门。土耳其商业间谍厂商PARS Defense同月也用它投放GHOSTSABER,能枚举设备、列文件、偷数据、执行任意JS。不同团伙用同一套kit,说明iOS高阶exploit已经形成二手交易市场。没能力自己研发的玩家也能买到现成顶级武器。
版本针对性也很精准。UNC6353主要打18.4到18.6,UNC6748和PARS Defense能覆盖到18.7。相比Coruna瞄准13.0-17.2.1的老版本,DarkSword明显是新迭代。代码里还残留对17.4.1和17.5.1的引用,证明它是从旧版移植升级过来的。
iVerify直接喊话:短短一个月内,Coruna和DarkSword两大武器库接连现身,水坑攻击波及数亿未打补丁的iPhone。苹果已经陆续修补这些漏洞,但现实是,大量用户压根不升级系统。加密玩家尤其危险,一旦中招,钱包私钥、助记词、交易所cookie全被端走,BTC现报$70,468(24h -4.95%)的暴跌行情里再来这么一刀,基本就是血本无归。
这个市场到底有多大?有多少商业间谍厂商和犯罪团伙在暗中交易这些0day?DarkSword的粗糙OPSEC反而证明,iOS顶级exploit已经不再是少数国家队专属玩具。普通加密用户现在得认真问自己:Safari还能随便乱点吗?系统补丁还敢拖着不装?