Google Tehdit İstihbaratı Grubu (GTIG), endüstri ortakları Lookout ve iVerify ile koordineli olarak, Kritik jeopolitik bağlamlarda Apple cihazlarını hedef almak için birden fazla sıfır gün güvenlik açığından yararlanan yeni bir tehdit tespit etti. Mobil siber güvenlik ortamı, “Kara Kılıç“, iOS cihazlarının güvenliğini tamamen tehlikeye atmak için tasarlanmış “tam zincirli” bir istismar.
GTIG izlemesine göre bu tehdit, ticari gözetim sağlayıcıları ve devlet grupları da dahil olmak üzere çok sayıda aktör tarafından Suudi Arabistan, Türkiye, Malezya ve Ukrayna'daki hedefleri hedeflemek için benimsendi. Bu aracın farklı aktörler arasında yaygınlaşması, daha önce gözlemlenen kalıpları takip ediyor ve bu durum, gelişmiş dijital casusluk araçlarının alışverişinde giderek daha aktif hale gelen bir pazarın altını çiziyor.
Teknik açıdan bakıldığında, DarkSword, 18.4 ile 18.7 arasındaki iOS sürümleriyle uyumludur. Zincir, son aşamadaki yükleri sağlamak için altı farklı güvenlik açığından yararlanıyor. GHOSTBLADE, GHOSTKNIFE ve GHOSTSABER kötü amaçlı yazılım ailelerinde tanımlandı. Bu istismarı operasyonlarına entegre eden gruplar arasında, daha önce casusluk kampanyalarıyla ilişkilendirilen bir tehdit kümesi olan ve yakın zamanda su kuyusu saldırıları için DarkSword'u benimseyen UNC6353 yer alıyor. Kullanılan güvenlik açıkları arasında JavaScriptCore bellek yönetimi kusurları (CVE-2025-31277 ve CVE-2025-43529) ve dyld'de İşaretçi Kimlik Doğrulama Kodlarının (PAC) atlanması (CVE-2026-20700) yer alır.
İlgili bir vaka çalışması aşağıdaki faaliyetlerle ilgilidir: Kasım 2025'te Suudi Arabistan'daki kullanıcıları hedeflemek için Snapchat temalı bir sahte site kullanan UNC6748 grubu. Bulaşma süreci, aynı deneklerin yeniden bulaşmasını önlemek ve araştırmacıların analizini engellemek için gizlenmiş JavaScript ve dinamik IFrame'lerin kullanımını içeriyordu.. Meşru uygulamaların veri sızıntısını maskeleme davranışını simüle eden “Yükleyici, bir RCE yükünü getirecek şekilde değiştirildi”. Apple, iOS 26.3'ün piyasaya sürülmesiyle kusurları düzeltmek için adımlar attı ancak bu saldırıların devam etmesi, zamanında güncelleme ihtiyacını veya alternatif olarak yüksek riskli profiller için “Kilitleme Modunun” etkinleştirilmesini vurguluyor..
Toplu araştırma, veri ve dijital altyapı analizinin yalnızca önleme açısından değil, aynı zamanda “neredeyse gerçek zamanlı karar desteği” açısından da hayati önem taşıdığını doğruluyor. Telematik ve tehdit istihbaratı, saldırı dinamiklerini anlamak ve mobil işletim sistemlerinin bütünlüğünü küresel ölçekte korumak için temel araçlar olmaya devam ediyor. iVerify ve Lookout ile ortak çalışma sayesinde, ilgili etki alanlarının haritalanması ve Güvenli Tarama protokollerine dahil edilmesi mümkün oldu; böylece son yılların en karmaşık tehditlerinden birine koordineli bir yanıt verilmesi sağlandı.
Bir yanıt yazın