Chiến dịch DarkSword: Chỉ cần mở web iPhone có thể lập tức bị chiếm quyền

[WhiteHat Team]

Nhóm nghiên cứu Google Threat Intelligence Group (GTIG) đã phát hiện một chuỗi khai thác iOS cực kỳ tinh vi mang tên DarkSword, đang được sử dụng trong các chiến dịch tấn công thực tế từ cuối năm 2025.
​

Ảnh: Internet​

Điểm đáng lo ngại là DarkSword có thể chiếm toàn quyền thiết bị iPhone chỉ thông qua trình duyệt, không cần cài ứng dụng hay thao tác phức tạp từ phía người dùng. Chuỗi tấn công này nhắm vào các thiết bị chạy iOS từ phiên bản 18.4 đến 18.7 và được đánh giá là một trong những chiến dịch tấn công di động phức tạp nhất từng được ghi nhận.​

DarkSword là gì và vì sao nguy hiểm?​

DarkSword không phải là một lỗ hổng đơn lẻ mà là một chuỗi khai thác (exploit chain) kết hợp nhiều lỗ hổng zero-day để chiếm quyền thiết bị.

Điểm khác biệt lớn của chiến dịch này nằm ở chỗ toàn bộ quá trình khai thác được thực hiện bằng JavaScript, thay vì sử dụng mã nhị phân như các phương thức truyền thống. Điều này giúp mã độc:​

• Hoạt động trực tiếp trong trình duyệt​
• Khó bị phát hiện bởi các cơ chế bảo mật​
• Linh hoạt thay đổi hành vi theo từng mục tiêu​

Theo GTIG, chiến dịch này không do một nhóm duy nhất thực hiện mà được sử dụng bởi nhiều tác nhân khác nhau, bao gồm cả nhóm gián điệp mạng cấp quốc gia và các công ty giám sát thương mại.​

Các nhóm tấn công và mục tiêu bị nhắm tới​

DarkSword đã được ghi nhận trong nhiều chiến dịch khác nhau, nhắm vào các khu vực như Ả Rập Xê Út, Thổ Nhĩ Kỳ, Malaysia và Ukraine. Một nhóm tấn công có mã UNC6748 đã sử dụng website giả mạo liên quan đến Snapchat để lừa người dùng truy cập. Khi nạn nhân mở trang web, một đoạn mã JavaScript ẩn sẽ kích hoạt khai thác và cài spyware mang tên GHOSTKNIFE.

Một chiến dịch khác được cho là liên quan đến công ty giám sát tại Thổ Nhĩ Kỳ, sử dụng mã độc GHOSTSABER với khả năng duy trì truy cập lâu dài và điều khiển thiết bị từ xa.

Trong khi đó, nhóm UNC6353 bị nghi có liên hệ với Nga đã triển khai hình thức watering-hole attack, chèn mã độc vào các website hợp pháp tại Ukraine để lây nhiễm người truy cập, phát tán mã độc GHOSTBLADE nhằm thu thập dữ liệu hàng loạt.​

Chuỗi lỗ hổng zero-day phía sau DarkSword​

Để chiếm toàn quyền thiết bị, DarkSword kết hợp ít nhất 6 lỗ hổng bảo mật ở nhiều lớp khác nhau của hệ điều hành.

Chuỗi tấn công bắt đầu từ trình duyệt WebKit, nơi tồn tại các lỗi thực thi mã từ xa như:​

• CVE-2025-31277​
• CVE-2025-43529​

Sau đó, kẻ tấn công tiếp tục vượt qua các cơ chế bảo vệ hệ thống bằng:​

• CVE-2026-20700 (bypass bảo vệ bộ nhớ)​
• CVE-2025-14174 (thoát sandbox)​

Cuối cùng, chúng khai thác hai lỗ hổng trong nhân hệ điều hành:​

• CVE-2025-43510​
• CVE-2025-43520​

Chuỗi khai thác này cho phép attacker đi từ trình duyệt → hệ thống → kernel, đạt quyền kiểm soát hoàn toàn thiết bị.​

Cơ chế khai thác: chỉ cần truy cập web là bị tấn công​

Quá trình tấn công của DarkSword có thể diễn ra theo một kịch bản rất đơn giản:

Người dùng truy cập một website độc hại hoặc bị chèn mã → JavaScript tự động kích hoạt khai thác → thực thi mã từ xa → vượt sandbox → leo thang đặc quyền → cài spyware.

Toàn bộ quá trình này diễn ra không cần người dùng cài app hay cấp quyền, thậm chí có thể được kích hoạt thông qua iframe ẩn trong trang web.​

Dữ liệu nào có thể bị đánh cắp?​

Sau khi xâm nhập thành công, DarkSword triển khai các biến thể mã độc với chức năng khác nhau, nhưng đều tập trung vào thu thập dữ liệu nhạy cảm. Các thông tin có thể bị đánh cắp bao gồm:​

• Tin nhắn từ iMessage, WhatsApp, Telegram​
• Lịch sử trình duyệt và vị trí​
• File cá nhân và dữ liệu ẩn​
• Nội dung ghi âm từ micro​
• Ví tiền điện tử​
• Dữ liệu ứng dụng và thông tin hệ thống​

Một số biến thể còn có khả năng duy trì truy cập lâu dài, biến thiết bị thành công cụ giám sát liên tục.​

Mức độ nguy hiểm và phạm vi ảnh hưởng​

DarkSword được đánh giá là đặc biệt nguy hiểm vì:​

• Sử dụng nhiều zero-day chưa từng công bố​
• Hoạt động hoàn toàn trong trình duyệt​
• Khó bị phát hiện bằng các giải pháp bảo mật truyền thống​
• Nhắm vào mục tiêu cụ thể với chiến dịch có chủ đích​

Mặc dù chủ yếu nhắm vào các mục tiêu có giá trị cao (VIP, tổ chức, chính phủ), nhưng về mặt kỹ thuật, bất kỳ người dùng nào truy cập vào nguồn độc hại đều có thể trở thành nạn nhân.​

Apple đã vá lỗ hổng, người dùng cần làm gì?​

Apple đã phát hành bản vá cho toàn bộ chuỗi lỗ hổng này trong phiên bản iOS 26.3. Để giảm thiểu rủi ro, các chuyên gia khuyến nghị:​

• Cập nhật iPhone/iPad lên phiên bản iOS mới nhất ngay lập tức​
• Hạn chế truy cập các đường link lạ, đặc biệt từ tin nhắn hoặc email​
• Bật Lockdown Mode đối với người dùng có nguy cơ cao​
• Tránh sử dụng các website không rõ nguồn gốc​
• Theo dõi các dấu hiệu bất thường như nóng máy, hao pin nhanh, dữ liệu tăng đột biến​

Chiến dịch DarkSword cho thấy một xu hướng đáng lo ngại, ranh giới giữa tấn công web và tấn công thiết bị đang dần bị xóa nhòa. Khi chỉ cần truy cập một trang web cũng có thể dẫn đến việc bị chiếm quyền toàn bộ thiết bị, người dùng không còn có thể dựa vào các hành vi “an toàn cơ bản” như trước đây. Việc cập nhật hệ điều hành kịp thời, nâng cao nhận thức bảo mật và hạn chế tiếp xúc với nguồn không đáng tin cậy là những yếu tố then chốt giúp giảm thiểu rủi ro trước các chiến dịch tấn công ngày càng tinh vi.​

Theo Cyber Press​