Google, Lookout ve iVerify araştırmacıları, savunmasız iPhone'ları uzaktan ele geçirmek için birden fazla yazılım açığını birleştiren bir saldırı zinciri hakkında uyarıda bulundu. Şirket, "birden fazla ticari gözetleme satıcısı ve devlet destekli olduğundan şüphelenilen aktörlerin", Kasım ayından bu yana Suudi Arabistan, Türkiye, Malezya ve Ukrayna merkezli iPhone kullanıcılarını hedef almak için DarkSword adlı istismar kitini kullandığını açıkladı.Güvenlik araştırmacıları DarkSword'u, bir ABD askeri yüklenicisi tarafından geliştirilmiş olabileceği düşünülen "Coruna" adlı başka bir iOS istismar kitini araştırırken keşfetti. Bu ayın başlarında ifşa edilen Coruna da iPhone'ları hackleyebiliyor ancak sadece iOS 13 ile 17.2.1 arasındaki eski sürümleri hedef alıyor.
Coruna'yı kullandığı tespit edilen saldırganlardan biri, UNC6353 adlı bir Rus hacker grubuydu. Mobil güvenlik sağlayıcısı Lookout, UNC6353'ün kripto para cüzdan detayları da dahil hassas bilgileri çalmak amacıyla Ukraynalı kullanıcıları hedef almak için DarkSword'u da kullandığına dair yeni kanıtlar ortaya çıkardı.
Şirketin raporunda, "Özellikle DarkSword, hedef verileri cihazdan saniyeler veya en fazla dakikalar içinde toplayıp dışarı aktaran ve ardından temizlik yapan bir 'vur-kaç' yaklaşımı sergiliyor gibi görünüyor," ifadesi yer aldı.
Güvenlik sağlayıcısı iVerify ise saldırının, Safari tarayıcısı üzerinden ziyaret edilen bir web sitesi aracılığıyla "tek tıkla" çalışan bir istismar yöntemi olduğunu belirtiyor. Ancak UNC6353'ün saldırıyı yalnızca Ukrayna merkezli IP adreslerine sahip iPhone'lara yönlendirdiği görüldü.
Grup, saldırıyı gerçekleştirmek için biri gov.ua uzantılı olmak üzere iki Ukrayna web alan adına müdahale ederek, açıkları tetikleyecek kötü amaçlı JavaScript kodları yükledi. Kullanıcının Safari üzerinden web sitesini ziyaret etmesi dışında herhangi bir etkileşime girmesine gerek kalmadığı tespit edildi.
Saldırı sonucunda, kripto para uygulamalarından cüzdan dosyalarını tespit etmek üzere tasarlanmış bir kötü amaçlı yazılım yükleniyor. iVerify'ın raporunda, "DarkSword ismi, sistemden Wi-Fi şifrelerini çıkaran kodun içindeki 'const TAG = 'DarkSword-WIFI-DUMP'' değişkeninden geliyor," denildi.
Google'ın incelemesi, DarkSword kullanımının Kasım 2025'e kadar uzandığını ortaya koydu. O dönemde farklı bir hacker grubu, Suudi Arabistan'daki kullanıcıları vurmak için sahte bir Snapchat sitesi üzerinden bu saldırıyı kullanıyordu. Daha sonra bir Türk gözetleme şirketi de bu açığı Türkiye'de ve sonrasında Malezya'da, bir arka kapı (backdoor) oluşturmak amacıyla kullandı.
Google'a göre DarkSword, ilk olarak Mart 2025 ve Eylül aylarında çıkan iOS 18.4 ile 18.7 arasındaki sürümleri hedefleyebiliyor. Apple o zamandan beri iOS 26 sürümüne geçiş yaptı. Google raporunda, DarkSword saldırılarının üç farklı kötü amaçlı yazılım türünü yaymak için toplamda altı farklı güvenlik açığını kullandığının görüldüğü belirtildi.
Google, bu açıkları geçen yılın sonlarında Apple'a bildirdiğini söylüyor. Google'ın raporunda, "Tüm açıklar iOS 26.3 sürümüyle kapatıldı (çoğu daha önce yamalanmıştı)," denildi. iOS 18.7.3 ve üzeri sürümler de bu tehdide karşı yamalandı.
DarkSword, bir zamanlar sadece istihbarat servislerinin elinde bulunan gelişmiş hack araçlarının artık siber suç pazarında kolayca alıcı bulabildiğini gösteriyor. iPhone'unuzun "güvenli" olduğuna güvenmek yerine, yazılım güncellemelerini bir "yük" değil, bir "kalkan" olarak görmek gerekiyor.
Sizce, gelişmiş siber saldırı araçlarının piyasada dolaşıma girmesi, ortalama kullanıcılar için güvenlik algısını temelden değiştirir mi?