新たなiOSエクスプロイトキット「DarkSword」を国家支援型ハッカーやスパイウェアベンダーが使用 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 新たなiOSエクスプロイトキット「DarkSword」を国家支援型ハッカーやスパイウェアベンダーが使用

デイリーサイバーアラート

Silobreaker-CyberAlert

サーベイランス

スパイウェア

新たなiOSエクスプロイトキット「DarkSword」を国家支援型ハッカーやスパイウェアベンダーが使用

佐々山 Tacos

佐々山 Tacos

2026.03.19

新たなiOSエクスプロイトキット「DarkSword」を国家支援型ハッカーやスパイウェアベンダーが使用

SecurityWeek – March 18, 2026

複数のゼロデイ脆弱性を利用してデバイスを侵害する新たなiOSエクスプロイトツール「DarkSword」について、Google(GTIG)LookoutiVerifyが報告。遅くとも2025年11月以降、複数の商用サーベイランス(監視)ベンダーや国家との繋がりが疑われるアクターらが、それぞれ別のキャンペーンでDarkSwordを利用しているという。GTIGは、サウジアラビア、トルコ、マレーシア、ウクライナのターゲットユーザーがこれらのキャンペーンの標的になったのを観測している。

 

DarkSwordは以下6件の脆弱性を悪用するエクスプロイトキットで、バージョン18.4〜18.7のiOSに対応している:CVE-2025-31277、CVE-2025-43529、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520、CVE-2026-20700。3月初頭にGTIGが報告した別のiPhoneハッキングツール「Coruna」とインフラを共有している上、ウクライナユーザーに対する水飲み場型攻撃でCorunaを配布していたアクター「UNC6353」が、この水飲み場型攻撃キャンペーンにDarkSwordを取り入れ始めたこともわかっているという。

関連記事:政府向けiPhoneハッキングツール「Coruna」、サイバー犯罪者にも使用されるように

 

研究者らによれば、DarkSwordはパスワードや写真、WhatsAppメッセージ、Telegramメッセージ、テキストメッセージ、ブラウザ履歴などの個人情報を盗むために設計されたツールとみられ、持続的な偵察というよりは、情報を盗んだら素早く姿を消す設計になっているとされる。Lockoutの研究者は、「DarkSwordが端末に留まる時間は、検知・流出させるデータの量にもよるが、おそらく数分程度である」と記した。この短い滞在時間の「最も可能性の高い説明」として、iVerifyの共同創業者であるCole氏は、ターゲットユーザーの生活パターンを知ることがハッカーらの狙いではないかと指摘している。一方でDarkSwordには、金銭的動機の存在を示唆する暗号資産ウォレット窃取機能も備わっているとされる。

 

DarkSwordは、攻撃の初期段階で、任意のメモリ読み取り/書き込み操作を可能にするWebContentプロセスのJIT関連の脆弱性CVE-2025-31277およびCVE-2025-43529を悪用。続いてセキュリティ保護措置(TPRO、PAC)をバイパスして任意コードの実行を達成するためにCVE-2026-20700を標的にする。その後、ANGLEにおける境界外書き込みの脆弱性であるCVE-2025-14174を悪用し、PACのバイパスと組み合わせて、GPUプロセス経由でSafariのサンドボックスを脱出。加えて、任意のメモリ読み取り/書き込み操作を可能にする脆弱性CVE-2025-43510を通じてGPUプロセスからXNUカーネルを狙い、CVE-2025-43520の悪用によってカーネル権限昇格を行うという。

 

GTIGは、DarkSwordによる侵害が成功した後に配布されるマルウェアファミリーとして以下の3種を発見している:GHOSTKNIFE、GHOSTSABER、GHOSTBLADE。

  • GHOSTKNIFE:JavaScriptバックドアで、広範な情報窃取性能を備える。GTIGによれば、2025年11月、「UNC6748」として追跡される脅威クラスターがサウジアラビアのユーザーに対する水飲み場型攻撃でDarkSwordを使い、最終的にGHOSTKNIFEを配布していたという。
  • GHOSTSABER:ファイル抽出、デバイスおよびアカウント列挙、データ窃取、任意JavaScriptコード実行が可能なJavaScriptバックドア。2025年11月後半に、商用サーベイランスベンダー(スパイウェアベンダー)のPARS Defenseがトルコのユーザーに対する攻撃でDarkSwordを使用し、GHOSTSABERを配布していたとされる。
  • GHOSTBLADE:情報窃取性能を備えるが、バックドア性能は持たないマルウェア。2025年12月にUNC6353により開始されたウクライナのユーザーに対するDarkSwordを使った水飲み場型攻撃では、GHOSTBLADEが配布されているという。

 

Lookoutは、DarkSwordはモジュール式で、新機能を容易に追加できるように開発されており、その点から「プロの手による設計」であることが示唆されると指摘。またiVerifyのCole氏は、Corunaをロシア政府関連のハッキンググループに販売したのと同じ人物がDarkSwordの販売も担っていたとしてもおかしくないとの考えを示した。

 

GTIG・Lookout・iVerifyはいずれもそれぞれのブログ記事でDarkSwordに関連するIoCを提供している。

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

インサイダー

スパイウェア

ロシアスパイの手に渡ったiPhoneハッキングツールCoruna、出どころは米軍請負業者だった可能性

佐々山 Tacos

佐々山 Tacos

2026.03.11

Silobreaker-CyberAlert

インサイダー

スパイウェア

【Eブック無料配布中:Codebook 2025 ~サイバーセキュリティ分析レポート~】

Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらから:

その他の無料配布中レポート

地政学レポート

【最新版】インテリジェンス要件定義に関するガイドブック

OSINT関連レポート

ディープ&ダークウェブレポート

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ