كشفت تقارير حديثة من Google Threat Intelligence Group، iVerify، و Lookout عن مجموعة أدوات استغلال جديدة تستهدف أجهزة آبل iOS، تُعرف باسم DarkSword، والتي تُستخدم لسرقة بيانات حساسة منذ نوفمبر 2025 على الأقل.
تم استغلال هذه المجموعة، التي تندرج تحت فئة أدوات الاستغلال الكاملة، بواسطة جهات فاعلة متعددة في حملات تمييزية تستهدف كلاً من المملكة العربية السعودية، وتركيا، وماليزيا، وأوكرانيا، مما يشير إلى اتساع نطاق استخدامها.
DarkSword: تهديد متطور لأمن أجهزة iOS
تُعد DarkSword ثاني مجموعة أدوات استغلال لأجهزة iOS يتم اكتشافها خلال شهر، بعد Coruna. ووفقاً للتقارير، تستهدف هذه المجموعة تحديداً إصدارات iOS التي تتراوح بين 18.4 و 18.7. وقد ارتبط استخدامها سابقاً بمجموعة تجسس روسية مشتبه بها تُعرف باسم UNC6353، والتي استهدفت مستخدمين في أوكرانيا.
تجدر الإشارة إلى أن مجموعة UNC6353 قد ارتبطت أيضاً باستخدام Coruna في هجمات مماثلة ضد المستخدمين الأوكرانيين، من خلال حقن إطار عمل JavaScript في مواقع إلكترونية مخترقة.
آليات عمل DarkSword وأهدافها
تهدف DarkSword إلى استخراج مجموعة واسعة من المعلومات الشخصية، بما في ذلك بيانات الاعتماد من الجهاز، مع تركيز خاص على محافظ العملات المشفرة. وهذا يشير إلى دوافع مالية خلف الجهات التي تستخدم هذه الأداة.
تتميز DarkSword بنهج “الضرب والفرار”، حيث تقوم بجمع البيانات المستهدفة وإرسالها من الجهاز خلال ثوانٍ أو دقائق قليلة، تتبعها عملية تنظيف شاملة لإخفاء آثارها.
يتم تصميم أدوات الاستغلال مثل Coruna و DarkSword لتوفير وصول كامل إلى جهاز الضحية بأقل قدر من التفاعل المطلوب من المستخدم، أو بدونه تماماً. تبرز هذه الاكتشافات وجود سوق ثانوية لأدوات الاستغلال، تسمح للمجموعات ذات الموارد المحدودة بالحصول على أدوات استغلال متطورة لاستخدامها ضد الأجهزة المحمولة.
ويشير استخدام كل من DarkSword و Coruna من قبل جهات فاعلة مختلفة إلى استمرار المخاطر المتعلقة بانتشار أدوات الاستغلال عبر جهات جغرافية ودوافع متنوعة.
فجوات أمنية واستغلال ثغرات
تعتمد سلسلة الاستغلال المرتبطة بـ DarkSword على ست ثغرات أمنية مختلفة لنشر ثلاث حمولات (payloads). ومن بين هذه الثغرات، تم استغلال CVE-2026-20700، و CVE-2025-43529، و CVE-2025-14174 كـ “ثغرات يوم الصفر” (zero-days) قبل أن تقوم آبل بإصلاحها.
تشمل الثغرات المحددة:
- CVE-2025-31277: ثغرة تلف في الذاكرة في JavaScriptCore (تم إصلاحها في الإصدار 18.6).
- CVE-2026-20700: تجاوز في مصادقة مؤشر وضع المستخدم (PAC) في dyld (تم إصلاحها في الإصدار 26.3).
- CVE-2025-43529: ثغرة تلف في الذاكرة في JavaScriptCore (تم إصلاحها في الإصدارات 18.7.3 و 26.2).
- CVE-2025-14174: ثغرة تلف في الذاكرة في ANGLE (تم إصلاحها في الإصدارات 18.7.3 و 26.2).
- CVE-2025-43510: ثغرة إدارة ذاكرة في نواة iOS (تم إصلاحها في الإصدارات 18.7.2 و 26.1).
- CVE-2025-43520: ثغرة تلف في الذاكرة في نواة iOS (تم إصلاحها في الإصدارات 18.7.2 و 26.1).
أشارت Lookout إلى اكتشاف DarkSword بعد تحليل البنية التحتية الخبيثة المرتبطة بـ UNC6353، حيث تم العثور على عنصر iFrame خبيث في أحد النطاقات المخترقة، والذي يقوم بتحميل JavaScript لتحديد وتوجيه الأجهزة المستهدفة إلى سلسلة استغلال iOS.
تميزت JavaScript في DarkSword باستهدافها تحديداً إصدارات iOS بين 18.4 و 18.6.2، على عكس Coruna التي استهدفت إصدارات أقدم.
“DarkSword هي سلسلة استغلال متكاملة لأخذ المعلومات، مكتوبة بلغة JavaScript،” أوضحت Lookout. “إنها تستغل ثغرات متعددة لتنفيذ التعليمات البرمجية المميزة والوصول إلى المعلومات الحساسة واستخراجها من الجهاز.”
تبدأ سلسلة الهجوم عندما يقوم المستخدم بزيارة صفحة ويب عبر Safari تحتوي على iFrame يتضمن JavaScript. بمجرد التشغيل، يمكن لـ DarkSword اختراق حاجز WebContent sandbox (وهو عملية عرض Safari) والاستفادة من WebGPU لحقن التعليمات في mediaplaybackd، وهو خادم نظام قدمته آبل لمعالجة وظائف تشغيل الوسائط.
يسمح هذا بدوره لبرامج التجسس المسماة GHOSTBLADE بالوصول إلى العمليات المميزة والأجزاء المقيدة من نظام الملفات. وبعد نجاح تصعيد الامتيازات، يتم استخدام وحدة تنسيق لتحميل مكونات إضافية مصممة لجمع البيانات الحساسة، بالإضافة إلى حقن حمولة استخراج في Springboard لإرسال المعلومات المرحلية إلى خادم خارجي عبر HTTP(S).
تشمل البيانات المسروقة رسائل البريد الإلكتروني، وملفات iCloud Drive، وجهات الاتصال، ورسائل SMS، وسجل التصفح وملفات تعريف الارتباط من Safari، وبيانات محافظ وخوازين العملات المشفرة، وأسماء المستخدمين وكلمات المرور، والصور، وسجل المكالمات، وإعدادات وتكوينات شبكة Wi-Fi، وسجل المواقع، والتقويم، ومعلومات شريحة SIM، وقائمة التطبيقات المثبتة، وبيانات من تطبيقات آبل مثل Notes و Health، وسجل الرسائل من تطبيقات مثل Telegram و WhatsApp.
تطورات وتقييمات إضافية
شرحت iVerify أن سلسلة الاستغلال تستغل ثغرات JavaScriptCore JIT في عملية عرض Safari (CVE-2025-31277 أو CVE-2025-43529) بناءً على إصدار iOS لتحقيق تنفيذ التعليمات البرمجية عن بعد عبر CVE-2026-20700، ومن ثم الهروب من sandbox عبر عملية GPU مستغلةً CVE-2025-14174 و CVE-2025-43510.
في المرحلة النهائية، يتم استغلال ثغرة تصعيد امتيازات النواة (CVE-2025-43520) للحصول على إمكانيات قراءة/كتابة عشوائية واستدعاء دوال عشوائية داخل mediaplaybackd، وتنفيذ كود JavaScript المحقون في النهاية.
“هذا البرنامج الضار متطور للغاية، ويبدو أنه منصة مصممة بشكل احترافي تتيح التطوير السريع للوحدات من خلال الوصول إلى لغة برمجة رفيعة المستوى،” أضافت Lookout. “هذه الخطوة الإضافية تظهر جهداً كبيراً في تطوير هذا البرنامج الضار مع مراعاة قابلية الصيانة والتطوير طويل الأمد والتوسع.”
وقد كشفت التحليلات الإضافية لملفات JavaScript المستخدمة في DarkSword عن وجود إشارات إلى إصدارات iOS 17.4.1 و 17.5.1، مما يشير إلى أن هذه المجموعة تم تكييفها من إصدار سابق كان يستهدف نسخاً أقدم من نظام التشغيل.
ما يميز DarkSword عن برامج التجسس الأخرى هو أنها غير مصممة للمراقبة المستمرة وجمع البيانات. فبمجرد اكتمال استخراج البيانات، يتخذ البرنامج الضار خطوات لتنظيف الملفات المرحلية والمغادرة، بهدف تقليل زمن البقاء واستخراج البيانات المحددة بأسرع وقت ممكن.
لا يُعرف سوى القليل جداً عن UNC6353، بخلاف استخدامها لكل من Coruna و DarkSword عبر هجمات “حفرة الري” (watering hole attacks) على مواقع أوكرانية مخترقة. وهذا يشير إلى أن مجموعة القرصنة هذه ممولة جيداً لتأمين سلاسل استغلال iOS عالية الجودة، والتي من المحتمل أن تكون مطورة لأغراض المراقبة التجارية.
ووفقاً لـ Lookout، فإن الافتقار الكامل للتعتيم في كود DarkSword، وعدم وجود تعتيم في HTML لملفات iframes، والتصميم البسيط والواضح لمستقبل ملفات DarkSword، يشير إلى أن UNC6353 قد لا تمتلك موارد هندسية قوية، أو أنها لا تهتم باتخاذ تدابير أمنية مناسبة.
كما تم ربط استخدام DarkSword بجهتين فاعلتين أخريين:
- UNC6748: استهدفت مستخدمين سعوديين في نوفمبر 2025 باستخدام موقع ويب يحمل طابع Snapchat، snapshare[.]chat، الذي استغل سلسلة الاستغلال لتوصيل GHOSTKNIFE، وهو باب خلفي (backdoor) يعتمد على JavaScript وقادر على سرقة المعلومات.
- نشاط تجاري مرتبط ببائع المراقبة التجاري التركي PARS Defense، والذي استخدم DarkSword في نوفمبر 2025 لتوصيل GHOSTSABER، وهو باب خلفي يعتمد على JavaScript ويتواصل مع خادم خارجي لتسهيل التعداد للأجهزة والحسابات، وسرد الملفات، واستخراج البيانات، وتنفيذ تعليمات JavaScript عشوائية.
ذكرت Google أن استخدام UNC6353 لـ DarkSword الذي لوحظ في ديسمبر 2025 كان يدعم فقط إصدارات iOS من 18.4 إلى 18.6، بينما استهدف الاستخدام المرتبط بـ UNC6748 و PARS Defense أيضاً أجهزة iOS التي تعمل بالإصدار 18.7.
“للمرة الثانية في شهر واحد، استخدمت جهات فاعلة هجمات حفرة الري لاستهداف مستخدمي iPhone،” قالت iVerify. “ملحوظ أن أياً من هذه الهجمات لم يكن مستهدفاً بشكل فردي. الهجمات المجمعة الآن تؤثر على مئات الملايين من الأجهزة غير المرقعة التي تعمل بإصدارات iOS من 13 إلى 18.6.2.”
“في كلا الحالتين، تم اكتشاف الأدوات بسبب فشل كبير في الأمن التشغيلي (op-sec) والإهمال في نشر قدرات الهجوم على iOS. تثير هذه الأحداث الأخيرة أسئلة رئيسية: ما هو حجم ومدى تجهيز سوق ثغرات يوم الصفر و n-day لأجهزة iOS؟ وما مدى سهولة وصول هذه القدرات القوية إلى الجهات الفاعلة ذات الدوافع المالية؟”