En bref, en ce mois de mars 2026, la barrière entre les capacités d’exploitation réservées aux acteurs étatiques et la cybercriminalité organisée vient de céder. La révélation simultanée de deux kits d’exploitation iOS complets, Corona et DarkSword, en l’espace d’un mois, signale une saturation du marché des vulnérabilités mobiles.
DarkSword, une chaîne d’exploitation « full-chain » écrite en JavaScript, permet une prise de contrôle totale d’appareils iOS (versions 18.4 à 18.7) avec une interaction utilisateur minimale. Utilisé par des acteurs étatiques présumés (UNC6353) et des fournisseurs de surveillance commerciale (PARS Defense, UNC6748), ce kit illustre une tendance critique : la modularité et la facilité de déploiement d’outils offensifs de haut niveau.
Pour les RSSI et DSI, la menace n’est plus théorique. Elle cible activement les parcs mobiles non patchés via des attaques de type watering hole. Cet article détaille l’anatomie technique de DarkSword, cartographie les acteurs impliqués et définit les mesures de mitigation impératives.
1. Anatomie technique de la chaîne d’exploitation
Contrairement aux spywares persistants traditionnels (ex. : Pegasus), DarkSword privilégie une approche « hit-and-run ». L’objectif n’est pas la surveillance continue, mais l’exfiltration massive de données sensibles en quelques minutes, suivie d’un nettoyage des artefacts pour limiter la détection forensique.
1.1. Vecteur d’infection : watering hole et fingerprinting
L’infection débute par la visite d’une page web compromise via Safari. Un élément iFrame malveillant charge un script JavaScript chargé de fingerprinter l’appareil.
- Cible : dispositifs iOS exécutant des versions spécifiques (18.4 à 18.6.2 pour UNC6353 ; jusqu’à 18.7 pour d’autres acteurs).
- Mécanisme : si le dispositif correspond au profil, le script redirige le navigateur vers la chaîne d’exploitation.
1.2. La chaîne de vulnérabilités (6 CVE)
DarkSword orchestre six vulnérabilités distinctes pour briser les couches de sécurité d’iOS. Trois d’entre elles étaient des zero-day au moment de l’exploitation active.
| Étape | Composant | CVE | Type de Vulnérabilité | Statut Zero-Day | Correctif Apple |
|---|---|---|---|---|---|
| RCE | JavaScriptCore | CVE-2025-31277 | Corruption mémoire | Non | iOS 18.6 |
| RCE | JavaScriptCore | CVE-2025-43529 | Corruption mémoire (DFG JIT) | Oui | iOS 18.7.3 / 26.2 |
| PAC Bypass | dyld | CVE-2026-20700 | Contournement PAC (User Mode) | Oui | iOS 26.3 |
| Sandbox Escape 1 | ANGLE (WebGPU) | CVE-2025-14174 | Corruption mémoire | Oui | iOS 18.7.3 / 26.2 |
| Sandbox Escape 2 | Kernel (XNU) | CVE-2025-43510 | Gestion mémoire (CoW) | Non | iOS 18.7.2 / 26.1 |
| Kernel LPE | Kernel (VFS) | CVE-2025-43520 | Corruption mémoire | Non | iOS 18.7.2 / 26.1 |
1.3. Mécanique d’évasion de sandbox (sandbox escape)
La sophistication de DarkSword réside dans sa capacité de pivot entre processus sandboxés, contournant ainsi les restrictions d’exécution de code :
- WebContent → GPU : exploitation de la CVE-2025-14174 via WebGPU pour sortir du sandbox de rendu de Safari.
- GPU → mediaplaybackd : exploitation de la CVE-2025-43510 afin d’injecter du code dans mediaplaybackd, un démon système gérant la lecture multimédia disposant de privilèges étendus.
- Escalade kernel : exploitation de la CVE-2025-43520 pour obtenir des primitives de lecture/écriture arbitraires en mémoire kernel.
Une fois ces étapes franchies, le kit charge des modules JavaScript supplémentaires (GHOSTBLADE, GHOSTKNIFE, GHOSTSABER) capables d’accéder aux zones restreintes du système de fichiers.
2. Analyse de la menace : acteurs, motivations et marché
L’analyse de la campagne DarkSword met en lumière une fragmentation des acteurs et une porosité des outils offensifs.
2.1. Cartographie des acteurs identifiés
| Cluster | Attribution | Cibles Géographiques | Payload | Motivations Probables |
|---|---|---|---|---|
| UNC6353 | APT Russe / Proxy | Ukraine | GHOSTBLADE | Renseignement / Vol Crypto |
| UNC6748 | Vendor Surveillance | Arabie Saoudite | GHOSTKNIFE | Surveillance Commerciale |
| PARS Defense | Vendor Turc | Turquie, Malaisie | GHOSTSABER | Surveillance Commerciale |
- UNC6353 : également lié à l’outil Corona. Ce groupe utilise des attaques par watering hole sur des sites ukrainiens compromis. Leur OPSEC (sécurité opérationnelle) est jugée faible par Lookout : absence d’obfuscation dans le code JavaScript, nommage évident des fichiers, récepteurs de fichiers simples. Cela suggère soit un accès à des outils puissants sans ingénierie interne solide, soit une négligence opérationnelle.
- Fournisseurs commerciaux (UNC6748, PARS) : utilisation ciblée via des sites thématiques (ex. : snapshare[.]chat pour UNC6748).
2.2. Analyse du payload : GHOSTBLADE
Le module principal observé, GHOSTBLADE, est un infostealer écrit en JavaScript. Ce choix technique est notable :
- Modularité : permet un développement rapide de nouveaux modules sans recompilation native.
- Contournement : facilite l’exécution de code dans un environnement restreint (PPL/SPTM) une fois les privilèges obtenus.
- Ciblage des données : le malware scanne heuristiquement les termes liés aux crypto-actifs (« metamask », « ledger », « binance », « phantom »), indiquant une motivation financière potentielle en plus du renseignement.
2.3. Données exfiltrées
Une fois les privilèges obtenus, DarkSword extrait et transmet via HTTPS vers un serveur C2 externe les données suivantes :
- Communication : e-mails, SMS, iMessages, historique d’appels.
- Identité : contacts, photos, historique de localisation, données SIM.
- Données sensibles : mots de passe enregistrés, configurations Wi-Fi, cookies Safari, fichiers iCloud Drive.
- Financier : données d’applications d’échange et portefeuilles crypto.
- Système : liste des applications installées, données Apple Health et Notes.
Après exfiltration (quelques secondes à quelques minutes), le malware nettoie les fichiers temporaires et les logs pour minimiser l’empreinte forensique.
3. Implications stratégiques pour la sécurité d’entreprise
La découverte de DarkSword, couplée à celle de Corona, valide l’hypothèse d’un marché secondaire des exploits iOS. Des groupes aux ressources limitées peuvent désormais acquérir des capacités « haut de gamme » précédemment réservées aux agences de renseignement.
3.1. Risques pour l’entreprise
- Surface d’attaque étendue : les attaques ne sont plus uniquement ciblées (spear-phishing individuel), mais opportunistes via des sites compromis (watering hole), touchant potentiellement des centaines de millions d’appareils non patchés.
- Détection complexe : l’absence de persistance et le nettoyage automatique rendent la détection post-incident difficile via les méthodes forensiques traditionnelles.
- Vol de secrets corporatifs : l’accès aux e-mails, fichiers iCloud et mots de passe compromet directement les accès aux ressources d’entreprise (SSO, VPN, Cloud).
3.2. Recommandations de mitigation (RSSI / DSI)
A. Gestion des correctifs (priorité critique)
Toutes les vulnérabilités de la chaîne DarkSword sont corrigées. Le délai de patching est la seule défense efficace contre l’exploitation de masse.
- Action : imposer via MDM la mise à jour vers iOS 18.7.3+ / 26.2+ (ou version ultérieure disponible).
- SLA : réduire le délai de déploiement des correctifs de sécurité critiques à < 72 heures pour les profils à risque.
- Cible : les versions iOS 18.4 à 18.6.2 sont confirmées vulnérables.
B. Durcissement : mode verrouillé (Lockdown Mode)
Pour les collaborateurs à haut risque (direction, finance, R&D, journalistes) :
- Action : activer le mode verrouillé (Réglages > Confidentialité > Mode verrouillé).
- Impact : ce mode désactive les fonctionnalités WebKit avancées et les connexions filaires non autorisées, bloquant techniquement les vecteurs d’exploitation de DarkSword.
C. Détection et réponse (SOC)
- Surveillance web : bloquer les domaines connus (ex. : static[.]cdncounter[.]net, sqwas[.]shapelie[.]com) au niveau DNS ou proxy.
- Logs dispositif : surveiller les crashs corrélés sur les processus com.apple.WebKit.WebContent, com.apple.WebKit.GPU et mediaplaybackd dans une fenêtre temporelle courte.
- Trafic réseau : identifier les connexions HTTPS sortantes anormales depuis des processus système vers des IP/domaines non répertoriés.
D. Sensibilisation ciblée
- Informer les utilisateurs sensibles des risques liés à la navigation web (watering hole).
- Recommander l’utilisation de navigateurs alternatifs avec protections renforcées (bien que WebKit soit imposé sur iOS, les couches de protection varient).
