DarkSword mirip dengan Coruna, yang menargetkan model iPhone yang menjalankan versi iOS dari 13.0 hingga 17.2.1.
Kit eksploitasi iOS utama yang ditemukan oleh pakar keamanan siber awal bulan ini telah bocor di GitHub, sehingga semakin meningkatkan kerentanan pada iPhone dan iPad lama.
Dalam penyelidikan bersama bulan ini, Google Threat Intelligence Group (GTIG) dan iVerify menyoroti ‘DarkSword’, eksploitasi rantai penuh baru yang menargetkan iOS versi 18.4 hingga 18.7. Kemungkinan besar jutaan pengguna di seluruh dunia menjalankan produk Apple lama yang dapat terpengaruh oleh eksploitasi ini.
Setidaknya sejak November 2025, DarkSword telah digunakan oleh berbagai pengawasan komersial dan diduga aktor yang disponsori negara untuk menargetkan pengguna di Arab Saudi, Turki, Malaysia, dan Ukraina, menurut temuan GTIG.
Serangan ini menggunakan berbagai kerentanan di sistem operasi Apple untuk mendapatkan akses ke informasi sensitif dari perangkat pengguna.
GTIG mengidentifikasi peretas yang memanfaatkan situs web palsu bertema Snapchat untuk menargetkan pengguna Arab Saudi, dan juga mengamati penggunaan DarkSword di Turki, serta mencurigai adanya aktor spionase Rusia yang memanfaatkan eksploitasi tersebut untuk menargetkan pengguna Ukraina.
Kelompok tersebut mengatakan telah melaporkan kerentanan DarkSword ini ke Apple akhir tahun lalu, dan semuanya telah ditambal dengan rilis iOS 26.3. Namun kemarin (23 Maret), TechCrunch melaporkan bahwa versi terbaru DarkSword bocor di situs berbagi kode GitHub.
Berbicara kepada publikasi tersebut, salah satu pendiri iVerify Matthias Frielingsdorf mengatakan bahwa eksploitasi ini “terlalu mudah untuk digunakan kembali”.
Dia menambahkan: “Saya rasa hal ini tidak bisa dibendung lagi. Jadi kita perlu mengantisipasi para penjahat dan pihak lain yang mulai menerapkannya.”
DarkSword mirip dengan ‘Coruna’, sebuah eksploitasi yang ditemukan awal bulan ini. Coruna menargetkan model iPhone yang menjalankan versi iOS dari 13.0 hingga 17.2.1.
Kit eksploitasi menginfeksi iPhone usang yang mengunjungi situs web tertentu. Itu tidak mengandung penargetan khusus atau tautan satu kali saja, yang berarti siapa pun yang mengunjungi situs web tersebut sambil menjalankan versi iOS yang rentan dapat terinfeksi, dan juga terinfeksi ulang beberapa kali.
GTIG dan iVerify mengatakan bahwa penggunaan DarkSword dan Coruna oleh berbagai aktor menunjukkan risiko proliferasi eksploitasi antar aktor dengan tujuan berbeda di seluruh dunia.
Disarankan agar pengguna memperbarui perangkat mereka ke iOS versi terbaru. Dalam kasus model lama di mana pembaruan tidak dapat dilakukan, disarankan agar pengguna mengaktifkan ‘Mode Penguncian’ untuk meningkatkan keamanan.