DarkSword: "Cơn ác mộng" mới của người dùng iOS với chuỗi khai thác lỗ hổng cực kỳ tinh vi

Thị trường bảo mật di động vừa ghi nhận một chấn động lớn khi bộ công cụ khai thác lỗ hổng mang tên DarkSword bị phanh phui. Được phát hiện bởi các chuyên gia từ Google Threat Intelligence Group (GTIG), iVerify và Lookout, DarkSword không chỉ đơn thuần là một phần mềm độc hại thông thường. Nó là một chuỗi tấn công phức tạp, kết hợp tới 6 điểm yếu bảo mật, trong đó có 3 lỗ hổng zero-day chưa từng được biết đến, nhằm chiếm quyền kiểm soát hoàn toàn iPhone của nạn nhân.

Sự xuất hiện của DarkSword cho thấy một xu hướng đáng báo động: các công cụ tấn công cấp độ quốc gia đang dần len lỏi vào tay các nhóm tội phạm mạng có nguồn lực hạn chế hơn, tạo ra mối đe dọa diện rộng cho hàng trăm triệu người dùng.

DarkSword là gì và tại sao nó lại nguy hiểm?

DarkSword được xác định là một bộ công cụ khai thác "toàn chuỗi" (full-chain exploit) dành riêng cho hệ điều hành iOS. Theo các báo cáo, bộ công cụ này đã được triển khai trong các chiến dịch thực tế ít nhất là từ tháng 11 năm 2025. Mục tiêu chính của nó là thâm nhập sâu vào hệ thống để trích xuất dữ liệu nhạy cảm một cách nhanh chóng và triệt để.

Điểm khác biệt của DarkSword nằm ở chiến thuật "tấn công chớp nhoáng rồi rút lui". Thay vì cố gắng duy trì sự hiện diện lâu dài trên thiết bị để theo dõi (vốn dễ bị phát hiện bởi các phần mềm bảo mật), DarkSword thực hiện quy trình:

• Xâm nhập vào thiết bị thông qua trình duyệt.

• Thu thập toàn bộ thông tin quan trọng chỉ trong vài giây hoặc tối đa vài phút.

• Tự động dọn dẹp dấu vết và thoát khỏi hệ thống để tránh bị truy vết.

Đặc biệt, bên cạnh các thông tin cá nhân thông thường, DarkSword cực kỳ chú trọng vào các ví tiền điện tử, cho thấy động cơ tài chính rõ rệt của những kẻ đứng sau chiến dịch này.

Các nhóm tin tặc và mục tiêu tấn công toàn cầu

Sự nguy hiểm của DarkSword không chỉ nằm ở công nghệ mà còn ở quy mô sử dụng. Các nhà nghiên cứu đã phát hiện bộ công cụ này được sử dụng bởi nhiều nhóm tin tặc khác nhau, nhắm vào các quốc gia như Ukraine, Ả Rập Xê Út, Thổ Nhĩ Kỳ và Malaysia.

Dưới đây là các tác nhân chính được xác định có liên quan:

• Nhóm UNC6353: Một nhóm tin tặc bị nghi ngờ có liên hệ với tình báo Nga. Nhóm này đã sử dụng DarkSword để tấn công người dùng tại Ukraine thông qua các trang web bị xâm nhập.

• Nhóm UNC6748: Tập trung tấn công người dùng tại Ả Rập Xê Út vào cuối năm 2025 bằng cách sử dụng các trang web giả mạo chủ đề mạng xã hội (như Snapchat).

• PARS Defense: Một nhà cung cấp phần mềm giám sát thương mại tại Thổ Nhĩ Kỳ, bị phát hiện sử dụng DarkSword để phát tán mã độc GHOSTSABER nhằm liệt kê và đánh cắp dữ liệu thiết bị.

Đáng chú ý, mặc dù sở hữu công cụ "hàng tuyển", nhóm UNC6353 lại cho thấy sự yếu kém về kỹ năng bảo mật vận hành (OPSEC) khi để lộ nhiều dấu vết sơ đẳng trong mã nguồn. Điều này củng cố giả thuyết về một thị trường "chợ đen" nơi các công cụ tấn công cao cấp được mua đi bán lại cho các nhóm có trình độ kỹ thuật thấp hơn.

Giải mã chuỗi 6 lỗ hổng bảo mật "hạ gục" iOS

Sức mạnh của DarkSword đến từ việc liên kết 6 lỗ hổng khác nhau để phá vỡ các lớp bảo vệ kiên cố của Apple. Trong đó, có 3 lỗ hổng zero-day (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174) đã bị khai thác triệt để trước khi Apple kịp tung ra bản vá.

Quy trình tấn công diễn ra theo một kịch bản được dàn dựng công phu:

1. Xâm nhập ban đầu: Sử dụng lỗi trong JavaScriptCore (CVE-2025-31277 hoặc CVE-2025-43529) để thực thi mã từ xa ngay khi người dùng truy cập trang web độc hại.

2. Vượt rào cản xác thực: Tận dụng lỗ hổng CVE-2026-20700 để bỏ qua cơ chế xác thực con trỏ (PAC), một lớp bảo vệ quan trọng của iOS.

3. Thoát khỏi Sandbox: Đây là bước quan trọng nhất. DarkSword sử dụng lỗ hổng trong GPU (CVE-2025-14174) để thoát khỏi môi trường cô lập của Safari, từ đó tiếp cận được các tiến trình hệ thống như mediaplaybackd.

4. Chiếm quyền hạt nhân (Kernel): Cuối cùng, lỗ hổng CVE-2025-43520 được khai thác để chiếm quyền đọc/ghi cao nhất trong nhân hệ điều hành, cho phép tin tặc làm bất cứ điều gì trên thiết bị.

Phương thức tấn công "Watering Hole" và hậu quả

DarkSword chủ yếu sử dụng phương thức tấn công "Watering Hole" (Hố nước). Tin tặc chèn các khung hình ẩn (iFrame) chứa mã độc vào các trang web phổ biến mà người dùng thường truy cập. Khi nạn nhân dùng Safari lướt web, mã độc sẽ tự động kiểm tra phiên bản hệ điều hành. Nếu thiết bị chạy iOS từ 18.4 đến 18.7, chuỗi khai thác sẽ được kích hoạt ngay lập tức mà không cần bất kỳ sự tương tác nào từ phía người dùng.

Dữ liệu bị đánh cắp bởi tải trọng độc hại (như GHOSTBLADE) bao gồm hầu hết mọi thứ trên điện thoại:

• Tin nhắn (SMS, Telegram, WhatsApp).

• Dữ liệu iCloud Drive, email, danh bạ và lịch sử duyệt web.

• Tên người dùng, mật khẩu và dữ liệu ví tiền điện tử.

• Thông tin nhạy cảm từ các ứng dụng Ghi chú và Sức khỏe.

Tất cả dữ liệu này sau đó được đóng gói và gửi về máy chủ của tin tặc qua giao thức HTTP(S) trước khi mã độc tự xóa mình khỏi máy.

Bài học về an ninh di động

Sự xuất hiện của DarkSword và người tiền nhiệm Coruna là lời cảnh báo đanh thép rằng không có hệ thống nào là tuyệt đối an toàn. Việc các lỗ hổng zero-day bị khai thác hàng loạt cho thấy sự tinh vi ngày càng tăng của các nhóm tội phạm mạng và sự sẵn có của các công cụ tấn công cao cấp trên thị trường thứ cấp.

Đối với người dùng iPhone, việc duy trì cảnh giác là chưa bao giờ thừa. Các chuyên gia khuyến cáo người dùng nên thực hiện ngay các bước sau để tự bảo vệ mình:

• Cập nhật hệ điều hành: Luôn cập nhật lên phiên bản iOS mới nhất ngay khi Apple phát hành bản vá.

• Cẩn trọng với liên kết lạ: Hạn chế truy cập các trang web không rõ nguồn gốc hoặc các đường link nghi vấn được gửi qua tin nhắn.

• Sử dụng chế độ bảo mật cao: Đối với những người dùng có nguy cơ cao (nhà báo, chính trị gia, chuyên gia tài chính), hãy cân nhắc kích hoạt Chế độ phong tỏa (Lockdown Mode) của Apple.