DarkSword: Gefährlicher iOS-Exploit-Kit jetzt öffentlich auf GitHub

Eine hochgefährliche Angriffstechnik für iPhones ist jetzt für jeden zugänglich. Der als „DarkSword“ bekannte Exploit-Kit wurde auf der öffentlichen Plattform GitHub geleakt. Damit stehen Werkzeuge, die bisher nur Geheimdiensten vorbehalten waren, plötzlich einer breiten Masse von Cyberkriminellen zur Verfügung. Millionen Nutzer, die ihr iPhone nicht auf die neueste iOS-Version aktualisiert haben, sind in akuter Gefahr.

Apple-Fachchinesisch macht Ihnen das Leben schwer? Angesichts solch komplexer Bedrohungsszenarien hilft dieses Gratis-Lexikon dabei, die 53 wichtigsten iPhone-Begriffe wie iOS oder Sicherheitslücken in einfachen Worten zu verstehen. Kostenloses iPhone-Lexikon jetzt anfordern

Demokratisierung der Cyber-Spionage

Der kritische Wendepunkt kam am Montag, dem 23. März 2026: Eine funktionsfähige Version von DarkSwar erschien auf GitHub. Der veröffentlichte Code enthält eine vollständige Angriffskette, die iPhones mit den iOS-Versionen 18.4 bis 18.7 kompromittieren kann. Experten sprechen von einer „Demokratisierung“ der Hacking-Fähigkeiten.

„Die Situation ist kaum noch einzudämmen“, warnt Matthias Frielingsdorf, Mitgründer des Sicherheitsunternehmens iVerify. Die Exploits seien für Dritte leicht zu modifizieren und wiederzuverwenden. Während das Toolkit ursprünglich von hochspezialisierten Akteuren wie der mutwachlich russischen Gruppe UNC6353 genutzt wurde, können nun auch finanziell motivierte Banden damit arbeiten. Der Übergang von gezielter Spionage zu möglicher Massenausbeutung ist vollzogen.

So funktioniert der Angriff aus dem Browser

Die technische Besonderheit von DarkSword ist seine Programmiersprache: Er ist fast vollständig in JavaScript geschrieben. Das vereinfacht die Verbreitung und umgeht viele herkömmliche Schutzmechanismen. Der Angriff beginnt, wenn ein Nutzer eine kompromittierte Website besucht – oft ohne es zu merken.

Über eine Kette von sechs Sicherheitslücken gelingt es dem Kit, die volle Kontrolle über das Gerät zu erlangen. Es nutzt unter anderem kritische Schwachstellen in der JavaScript-Engine (CVE-2025-31277, CVE-2025-43529) und im Kernel des Betriebssystems. Durch die Injektion in Systemprozesse erhält der Angreifer Lese- und Schreibzugriff auf den Kernel und damit auf das gesamte Dateisystem und sensible Nutzerdaten.

Vom Staatstrojaner zur globalen Bedrohung

Bevor der Code öffentlich wurde, wurde DarkSword bereits in hochzielgerichteten Kampagnen beobachtet. Googles Threat Intelligence Group verknüpft das Toolkit mit mehreren Bedrohungsakteuren, vor allem mit UNC6353. Diese Gruppe infizierte gezielt Besucher legitimer, vielbesuchter Websites – eine Taktik, die als „Watering-Hole-Angriff“ bekannt ist. Betroffen waren unter anderem eine unabhängige Nachrichtenagentur in der Ukraine und ein Verwaltungsgericht.

Doch nicht nur Staaten nutzten die Technik. Auch kommerzielle Überwachungsfirmen wie PARS Defense setzten DarkSword ein, um Nutzer in Saudi-Arabien, der Türkei und Malaysia auszuspähen. Einmal infiziert, installiert das Kit eine von drei Schadprogramm-Varianten (GhostBlade, GhostKnife, GhostSaber), die Kontakte, Nachrichten, Standortverläufe und sogar Krypto-Wallet-Zugänge auslesen. Anschließend löscht sich die Malware oft selbst – und hinterlässt kaum Spuren.

Unternehmen müssen jetzt handeln

Die Gefahr für Unternehmen ist immens. Berichten zufolge laufen noch immer rund 25 Prozent aller iPhones mit einer Version von iOS 18. Hunderte Millionen Geräte sind potenziell verwundbar. Ein einziges kompromittiertes Firmenhandy kann zum Verlust sensibler Kommunikation, Finanzdaten oder Geschäftsgeheimnisse führen.

Um Ihr Unternehmen und sensible Daten proaktiv vor solchen kostspieligen Cyberangriffen zu schützen, bietet dieser Experten-Report effektive Strategien ohne Budget-Explosion. Kostenloses E-Book zu Cyber Security Trends herunterladen

Die einzige wirksame Gegenmaßnahme ist ein sofortiges Update auf iOS 26.3, das alle ausgenutzten Lücken schließt. Für besonders gefährdete Personen, die nicht sofort updaten können, empfiehlt sich der „Lockdown-Modus“ als temporärer Schutz. Herkömmliche Security-Schulungen reichen nicht mehr aus: Da DarkSword über legitime, gehackte Websites verbreitet wird, genügt schon der Besuch einer Seite – ohne Klick auf einen verdächtigen Link.

Das bedeutet DarkSword für die Zukunft

DarkSword markiert einen fundamentalen Wandel. Vollständige iOS-Exploit-Kits waren bisher selten, teuer und wurden sparsam gegen High-Value-Ziele eingesetzt. Jetzt wird diese Technologie massentauglich. Die Integration von KI-gestützten Designelementen in den Schadcode, wie Forscher von Lookout berichten, senkt die Einstiegshürde für die Entwicklung ausgefeilter Malware weiter.

Die Sicherheitsbranche rechnet mit einer Flut von Angriffen, die auf dem geleakten Code basieren. Varianten von DarkSword könnten bald in breiteren Cyberkriminellen-Ökosystemen auftauchen, ähnlich den „Ransomware-as-a-Service“-Modellen aus der Windows-Welt. Das Wettrüsten zwischen Plattformentwicklern und Angreifern beschleunigt sich. Die mobile Sicherheit steht vor ihrer bislang größten Bewährungsprobe.

boerse | 68979573 |