DarkSword Exploit - Büyük Apple Güvenlik Açığı (iOS 18.4 - 18.7)

DarkSword Exploit, Şimdiye Kadarki En Büyük iOS Güvenlik Açıklarından Biri!​

iOS 26.3 sürümünde kapatıldı. 26.2 sürümüne kadar kapsayabilir.

DarkSword: iOS 18’i Sessizce Ele Geçiren Yeni Exploit Zinciri – Coruna’nın Devamı ve Daha Tehlikeli Versiyonu

Bugün (18 Mart 2026) iOS güvenlik dünyasında yeni bir bomba patladı. iVerify, Google Threat Intelligence Group (GTIG) ve Lookout Threat Labs’ın eş zamanlı yayınladığı raporlar, DarkSword adlı yeni bir iOS exploit kitini ortaya çıkardı. Coruna’dan sadece 15 gün sonra gelen bu kit, iOS 18.4 ile 18.7 arasındaki sürümleri hedef alıyor ve tam zincirli (full-chain) bir saldırı gerçekleştiriyor.

@krzywix (iVerify araştırmacısı Mateusz Krzywicki) X paylaşımıyla gündeme gelen DarkSword, waterhole saldırıları (ele geçirilmiş meşru siteler) üzerinden sadece siteye girerek cihazı ele geçiriyor. İşte bu yeni tehdidin tüm detayları.

DarkSword Nedir?​

DarkSword, tamamen JavaScript tabanlı bir exploit kitidir. Geleneksel binary implant veya kalıcı malware kurmaz. “Hit-and-run” (vur-kaç) mantığıyla çalışır: Cihazı birkaç saniye veya dakika içinde ele geçirir, istediği veriyi çalar ve ardından tüm izleri temizleyerek ortadan kaybolur.

Adı, implant kodunda geçen bir değişkenden geliyor: const TAG = "DarkSword-WIFI-DUMP".

Kit, başarıyla compromise olduktan sonra üç farklı malware ailesini devreye sokuyor:

• GHOSTBLADE
• GHOSTKNIFE
• GHOSTSABER

Bu payload’lar şu verileri çalabiliyor​

• Keychain (şifreler)
• WiFi şifreleri
• iCloud verileri
• Mesajlar, aramalar, rehber
• Konum geçmişi
• Safari verileri
• Sağlık kayıtları
• Kripto cüzdan dosyaları (MetaMask, Phantom vb.)

Teknik Exploit Zinciri (Adım Adım)​

DarkSword, 6 güvenlik açığını (bazıları zero-day olarak nitelendiriliyor) kullanarak şu zinciri işletiyor:

1. Waterhole Saldırısı
Kullanıcı, ele geçirilmiş Ukrayna sitelerine (örneğin novosti[.]dn[.]ua) girer. Sayfa içinde gizli iframe’ler çalışır ve /widget.js → /rce_loader.js yüklenir.

2. Safari WebContent’te RCE (Remote Code Execution)
JavaScriptCore JIT hatalarını kullanarak arbitrary memory read/write primitive elde edilir.

3. Sandbox Escape (GPU Process’e Geçiş)
ANGLE (WebGPU) out-of-bounds write ile GPU prosesine sızılır.

4. mediaplaybackd Daemon’a Pivot
AppleM2ScalerCSCDriver sürücüsündeki Copy-On-Write (CoW) zafiyeti kullanılarak mediaplaybackd’e geçilir.

5. Kernel Privilege Escalation
Kernel seviyesinde arbitrary read/write elde edilir ve JavaScript implant’lar SpringBoard, configd, wifid, securityd gibi proseslere enjekte edilir.

6. Veri Çalma ve Temizlik
Veriler /tmp klasörüne dökülür, C2 sunucusuna (sqwas[.]shapelie[.]com gibi) exfiltrate edilir ve tüm geçici dosyalar + crash raporları silinir.

Kullanılan Açıklar​

iVerify raporuna göre kit n-day (bilinen ancak o sırada yamalanmamış) açıklar kullanıyor. Google GTIG ise bazılarını zero-day olarak sınıflandırıyor.

Ana CVE’ler (iVerify raporu):

• CVE-2025-31277 (iOS 18.4 – WebKit JIT)

• CVE-2025-43529 (iOS 18.6 – WebKit use-after-free)

• CVE-2026-20700 (TPRO + PAC bypass)

• CVE-2025-14174 (ANGLE sandbox escape)

• CVE-2025-43510 (AppleM2ScalerCSCDriver CoW)

• CVE-2025-43520 (Kernel privilege escalation)

Tüm açıklar iOS 18.7.3 ve iOS 26.3 ile yamalandı.

Her iki kit de aynı Rus grubu (UNC6353) tarafından kullanılıyor. Bu, exploit kitlerinin “ikinci el piyasada” hızla el değiştirdiğini gösteriyor.

Gerçek Dünya Saldırıları​

• Kasım 2025’ten beri aktif.

• Hedef ülkeler: Suudi Arabistan, Türkiye, Malezya, Ukrayna.

• Saldırı yöntemi: Ele geçirilmiş siteler (watering-hole) ve Snapchat temalı phishing sayfaları.

• Özellikle Ukrayna hedefli casusluk ve kripto hırsızlığı operasyonlarında kullanıldı.

Yamalama ve Korunma Durumu​

• Tüm 6 açık yamalandı.
• Güncel sürümler: iOS 18.7.3 ve iOS 26.3 (ve üstü) tamamen korunuyor.
• Eski iOS 18.4–18.7 kullananlar hala risk altında.

DarkSword, iOS ekosistemindeki tehdit seviyesinin ne kadar yükseldiğini gösteren en yeni örnek. Coruna’nın sadece 15 gün sonrasında ortaya çıkması, exploit kitlerinin artık “ticari ürün” gibi el değiştirdiğini gösteriyor. Eskiden sadece devlet seviyesinde görülen araçlar artık suç örgütlerinin elinde.

Kaynaklar​

• Google Threat Intelligence Group – “iOS Exploit Chain Adopted by Multiple Threat Actors”
• iVerify – “DarkSword iOS Exploit Kit Explained”
• Lookout Threat Labs – “Attackers Wielding DarkSword Threaten iOS Users”