Netcrook Logo
👤 KERNELWATCHER
🗓️ 19 Mar 2026   🌍 Middle-East

Sabotage JavaScript : Au cœur du scandale d’espionnage DarkSword sur iPhone

Une nouvelle vague d’exploits zero-day sur iOS, alimentée par des outils de piratage avancés uniquement en JavaScript, cible des victimes de haut niveau à travers le monde.

Tout a commencé avec un site web ressemblant à Snapchat en Arabie Saoudite et s’est terminé avec des espions numériques siphonnant des secrets dans les poches de diplomates. La dernière campagne de piratage iOS, nom de code DarkSword, a provoqué une onde de choc dans la communauté de la cybersécurité - non seulement pour son audace technique, mais aussi pour la toile mondiale d’espionnage qu’elle a permis. Alors que les utilisateurs Apple se précipitent pour mettre à jour leurs appareils, la véritable ampleur et sophistication de cette attaque ne font que commencer à émerger.

En bref

  • DarkSword est un exploit iOS full-chain utilisant uniquement JavaScript, actif depuis novembre 2025.
  • Plusieurs groupes malveillants, dont des acteurs étatiques et des vendeurs de surveillance, l’ont utilisé contre des cibles en Arabie Saoudite, Turquie, Malaisie et Ukraine.
  • La chaîne d’exploitation exploite au moins six vulnérabilités zero-day, allant de WebKit à la mémoire du noyau.
  • Trois charges virales distinctes - GHOSTKNIFE, GHOSTSABER et GHOSTBLADE - ont été utilisées pour voler des messages, des fichiers et des données sensibles d’applications.
  • Apple a corrigé toutes les vulnérabilités connues dans iOS 26.3 ; le mode Lockdown offre une protection supplémentaire.

DarkSword : Anatomie d’un piratage de pointe

Selon le Threat Intelligence Group de Google, DarkSword représente un changement de paradigme dans l’exploitation mobile. Contrairement à la plupart des attaques iOS, qui reposent sur des binaires compilés, toute la chaîne de DarkSword fonctionne via JavaScript - ce qui la rend plus furtive et plus facile à diffuser via le web. Cette approche a permis aux attaquants de contourner de nombreux contrôles de sécurité traditionnels et a rendu la détection bien plus difficile.

Trois groupes d’acteurs malveillants distincts ont été liés à DarkSword. En Arabie Saoudite, le groupe UNC6748 a attiré des victimes avec un faux site à thème Snapchat, déployant le malware GHOSTKNIFE pour exfiltrer des messages, suivre des localisations et même enregistrer de l’audio. En Turquie et en Malaisie, la société de surveillance commerciale PARS Defense a utilisé un chargeur plus sophistiqué et des charges chiffrées pour installer GHOSTSABER - une porte dérobée capable d’exécuter du code arbitraire, de voler des fichiers et d’exécuter des requêtes SQL à la demande.

Pendant ce temps, le groupe russe présumé UNC6353 a ciblé des utilisateurs ukrainiens avec une campagne de type « watering hole », injectant des scripts malveillants dans des sites locaux légitimes. Leur charge, GHOSTBLADE, visait à récolter des données issues d’applications de messagerie, de portefeuilles de cryptomonnaie et de photos cachées.

La chaîne technique est un véritable chef-d’œuvre d’ingénierie d’exploit. Les attaquants ont enchaîné des failles dans le moteur JavaScript de WebKit, contourné l’authentification des pointeurs, échappé aux bacs à sable iOS et, finalement, pris le contrôle au niveau du noyau. Tout le processus était invisible pour les victimes, ne laissant que peu de traces à part les données volées - et, dans certains cas, des malwares effaçant activement leurs propres journaux de crash.

Conséquences et conseils

La sortie rapide d’iOS 26.3 par Apple a permis de corriger les vulnérabilités connues, mais la campagne DarkSword est un avertissement sévère : à mesure que la sécurité mobile se renforce, les attaquants évoluent tout aussi vite. Pour les personnes à risque élevé - journalistes, activistes, responsables gouvernementaux - activer le mode Lockdown peut être la meilleure défense. Pour tous les autres, la leçon est claire : mettez à jour vos appareils rapidement et méfiez-vous des liens suspects, aussi convaincants soient-ils.

WIKICROOK

  • Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel, sans correctif disponible, ce qui la rend extrêmement précieuse et dangereuse pour les attaquants.
  • Full : L’enregistrement de session Full Motion capture une relecture vidéo de toutes les actions de l’utilisateur lors d’une session informatique, offrant une vision détaillée pour la sécurité et l’audit.
  • Obfuscation JavaScript : L’obfuscation JavaScript rend le code difficile à lire ou à analyser, souvent pour le protéger ou masquer une intention malveillante aux outils et analystes de sécurité.
  • Watering : Le watering consiste à compromettre des sites web de confiance pour infecter ou espionner des groupes spécifiques en ciblant les sites qu’ils visitent fréquemment.
  • Privilège noyau : Le privilège noyau accorde le niveau d’accès le plus élevé dans un système d’exploitation, permettant à un utilisateur ou un attaquant de contrôler totalement le matériel, les processus et les mesures de sécurité.
iOS exploits DarkSword cybersecurity
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news