Après la publication d’analyses sur Coruna, Google expose une autre chaîne d’exploitation ciblant des versions anciennes d’iOS, identifiée comme « DarkSword » par le Google Threat Intelligence Group (GTIG).
Contexte : Coruna et les correctifs déployés en mars 2026
Début mars, Google et iVerify ont décrit Coruna, une chaîne combinant plusieurs vulnérabilités iOS afin de compromettre des iPhone restés sur des versions non à jour. Dans la foulée, Apple a diffusé iOS 16.7.15, iOS 15.8.7, iPadOS 16.7.15 et iPadOS 15.8.7, avec des correctifs visant notamment des failles noyau et WebKit.
Le 19 mars 2026, Apple a également mis en ligne un document d’assistance intitulé Update iOS to protect your iPhone from web attacks, évoquant des attaques web ciblant des versions obsolètes d’iOS via du contenu web malveillant. Apple y précise notamment que les appareils sous iOS 13 ou iOS 14 doivent passer à iOS 15 pour bénéficier de ces protections, et que le mode Isolement (Lockdown Mode) peut être envisagé lorsqu’il est disponible.
« DarkSword » : une chaîne d’exploitation à plusieurs étapes
D’après le GTIG, « DarkSword » est utilisé dans des campagnes distinctes par « plusieurs vendeurs commerciaux de surveillance » ainsi que par des acteurs soupçonnés d’être soutenus par des États. Google indique que ces opérations ont visé des cibles en Arabie saoudite, en Turquie, en Malaisie et en Ukraine.
Comme Coruna, DarkSword enchaîne plusieurs vulnérabilités afin d’aboutir à une compromission complète au niveau du noyau. La diffusion passerait par des sites compromis ou des sites leurres, avant l’enchaînement de plusieurs phases menant au déploiement de charges utiles, dont GHOSTBLADE, GHOSTKNIFE et GHOSTSABER.
Vulnérabilités associées et versions corrigées
- CVE-2025-31277 (corrigée dans iOS 18.6)
- CVE-2026-20700 (corrigée dans iOS 26.3)
- CVE-2025-43529 (corrigée dans iOS 18.7.3 et iOS 26.2)
- CVE-2025-14174 (corrigée dans iOS 18.7.3 et iOS 26.2)
- CVE-2025-43510 (corrigée dans iOS 18.7.2 et iOS 26.1)
- CVE-2025-43520 (corrigée dans iOS 18.7.2 et iOS 26.1)
Les détails techniques sont documentés par Google dans le billet du GTIG : darksword ios exploit chain, publié en coordination avec Lookout (darksword) et iVerify (darksword ios exploit kit explained).
