Un nouveau rapport de Google révèle une chaîne d'attaque sophistiquée conçue pour installer des logiciels malveillants et voler des cryptomonnaies sur les appareils iPhone. Le Threat Analysis Group (TAG) a détaillé comment l'opération appelée DarkSword enchaîne six vulnérabilités critiques pour compromettre les versions iOS entre 18.4 et 18.7, en utilisant les sites Web infectés comme principal vecteur d'intrusion.
L'attaque est déployée à l'aide de techniques de « point d'eau » (également connues sous le nom d'attaques de point d'eau). Il s’agit de stratégies de cyberattaques ciblées et sélectives. Son nom vient de l'analogie avec la nature dans laquelle un prédateur se cache dans un point d'eau où les animaux vont boire de l'eau, attendre le bon moment pour frapper lorsque la proie est distraite ou vulnérable. En cybersécurité, le « point d’eau » est un site Web légitime ou fiable qu’un groupe spécifique d’utilisateurs visite fréquemment.
De telle sorte que, lorsqu’il visite ses sites favoris, l’utilisateur est infecté. Une fois les défenses du système surmontées, l’exploit installe l’une des trois familles de logiciels malveillants. Il s'agit de GHOSTBLADE, GHOSTKNIFE ou GHOSTSABER. Parmi eux se distingue GHOSTBLADE, un voleur d'informations basé sur JavaScript qui extrait les historiques de Safari et les messages Telegram, accédez même aux clés du bitcoin et des crypto-monnaies dans des applications telles que MetaMask, Phantom et Binance.
La sophistication technique de cette menace réside dans sa capacité à compromettre des composants structurels tels que le moteur JavaScriptCore et le noyau iOS. Les chercheurs ont identifié que Les attaquants ont exploité des failles du jour zéro avant que les correctifs officiels n'existent.
Sur son blog officiel, l'unité de renseignement de Google a décrit DarkSword comme une « chaîne d'exploitation complète qui utilise six vulnérabilités différentes pour déployer les charges utiles finales ».
Le groupe d'espionnage russe UNC6353 a été associé à des attaques ciblées en Ukraine, tandis que d'autres incidents ont touché des utilisateurs en Arabie Saoudite et en Turquie. Ce modèle renforce le tendance critique concernant l’utilisation de ce type de malware pour voler des crypto-monnaies et obtenir des informations stratégiques grâce à des outils de surveillance commerciale.
Apple affirme avoir corrigé ces bugs avec la mise à jour vers iOS 26.3, exhortant les utilisateurs à maintenir leurs appareils à jour. Cependant, il est clair que tant que les smartphones centraliseront notre vie financière et privée, les codes malveillants continueront à chercher des failles dans le système. Dans cet environnement, la mise à jour immédiate est le seul moyen de garantir la sécurité de notre identité numérique et de nos fonds.
La trace laissée par DarkSword est en fait le dernier chapitre d’une offensive systématique contre la sécurité mobile. Quelques semaines plus tôt, début mars 2026, comme le rapportait CriptoNoticias, le kit d'exploitation Coruna avait déjà exposé les coutures de l'auto-garde dans les versions iOS allant de 13 à 17.2.1.
Ce système, également détecté par l'équipe de renseignement de Google, fonctionnait selon le même principe d'intrusion profonde. Il s'agit de parcourir des notes, des photos et des fichiers locaux pour extraire des phrases de récupération de portefeuilles tels que MetaMask, Trust Wallet et Exodus.
Cette récurrence de vulnérabilités critiques révèle une fissure persistante dans l'architecture d'Apple que les attaquants exploitent avec une précision chirurgicale. Dans un environnement où les outils d'espionnage d'État évoluent rapidement vers le vol financier direct, La mise à jour immédiate du logiciel cesse d'être un conseil et devient un acte de survie numérique. Si le code ne cesse pas de violer la vie privée, la défense de notre souveraineté financière ne peut pas non plus se permettre de faire une pause.
Voir l’article original en espagnol
