Stell dir vor, jemand bricht in deine Wohnung ein, fotografiert alles: Briefe, Kontoauszüge, den Inhalt deines Tresors. Räumt danach sorgfältig auf und geht, als wäre er nie da gewesen. Kein Einbruchsspuren. Kein Alarm. Du erfährst es nie. Genau das beschreibt, was DarkSword mit einem ungepatchten iPhone macht.

Was ist DarkSword?

DarkSword ist kein Virus im klassischen Sinne, der sich auf deinem Gerät einnistet und Schaden anrichtet, den man sehen kann. Es ist ein sogenanntes Exploit-Kit ein hochentwickeltes Werkzeug, das Sicherheitslücken systematisch ausnutzt, um in ein System einzubrechen. Der Name stammt aus dem Code selbst: Sicherheitsforscher der Google Threat Intelligence Group (GTIG) fanden den Begriff als internen Bezeichner in wiederhergestellten Programmdateien.

Entdeckt und analysiert wurde DarkSword durch eine gemeinsame Untersuchung von GTIG, dem Sicherheitsunternehmen Lookout und dem iPhone-Sicherheitsspezialisten iVerify. Ihr Fazit: Das Kit ist seit mindestens November 2025 aktiv und richtet sich gegen iPhones mit iOS 18.4 bis iOS 18.7 — Versionen, die zwischen März und August 2025 erschienen und bis vor wenigen Wochen noch auf schätzungsweise mehr als 220 Millionen Geräten weltweit liefen.

Der Einstieg: eine normale Webseite in Safari

Der Angriff beginnt nicht mit einer dubiosen App, nicht mit einem gefälschten Link in einer WhatsApp-Nachricht, nicht mit einer Phishing-Mail. Er beginnt mit dem Besuch einer ganz normalen, legitimen Webseite, die von Angreifern zuvor kompromittiert wurde.

Sicherheitsforscher dokumentierten konkrete Fälle: betroffen war unter anderem die offizielle Webseite des Siebten Verwaltungsgerichts im ukrainischen Winnyzja sowie die Nachrichtenseite News of Donbas. Diese Seiten wurden heimlich um einen versteckten iFrame ergänzt, ein unsichtbares HTML-Element, das im Hintergrund schädlichen Code nachlädt. Wer die Seite mit einem verwundbaren iPhone in Safari öffnete, löste damit automatisch die gesamte Angriffskette aus.

Wie der Angriff technisch funktioniert - einfach erklärt

DarkSword arbeitet wie ein Einbrecher, der nicht einfach durch die Haustür kommt, sondern vier verschlossene Türen in Folge öffnet. Jede Tür bringt ihn ein Stockwerk tiefer ins System — bis er schließlich überall Zugriff hat.

Tür 1 — Einstieg über den Browser: Alle Browser auf dem iPhone, egal ob Safari, Chrome oder Firefox, müssen auf iOS dieselbe Browser-Engine namens WebKit nutzen. Das schreibt Apple vor. DarkSword nutzt einen Fehler in dieser Engine, um das erste Stück Schadcode ins Gerät zu schleusen. Es ist vergleichbar damit, dass jemand durch ein offenes Kellerfenster ins Haus gelangt, ein winziger Spalt reicht.

Tür 2 — Aus der Browser-Sandbox ausbrechen: Moderne Betriebssysteme isolieren Browser bewusst vom Rest des Systems, wie eine Glasscheibe zwischen dem Einbrecher und dem Rest des Hauses. Der Schadcode steckt zunächst in diesem abgeschotteten Bereich. DarkSword nutzt eine Schwachstelle in der Grafikverarbeitung des Browsers, um aus dieser Isolation auszubrechen und in einen weniger gesperrten Systembereich zu wechseln.

Tür 3 — Tiefer ins System: Von dort springt der Code in einen Systemdienst namens mediaplaybackd, der für Medienwiedergabe zuständig ist und dem iOS besondere Vertrauensrechte einräumt. Es ist wie das Stehlen eines Generalschlüssels vom Hausmeister, plötzlich öffnen sich viel mehr Türen.

Tür 4 — Vollzugriff auf den Kern: Über zwei weitere Lücken im Betriebssystemkern (dem sogenannten Kernel) erlangt DarkSword schließlich vollen Lese- und Schreibzugriff auf alles, was auf dem iPhone gespeichert ist. Ab diesem Punkt gibt es keine Bereiche mehr, die abgesperrt wären.

Technisch interessant ist dabei: Die gesamte Angriffskette ist vollständig in JavaScript geschrieben, derselben Programmiersprache, die auf jeder normalen Webseite läuft. Das ist ungewöhnlich, weil JavaScript eigentlich als harmlose Skriptsprache gilt. Es ermöglicht den Entwicklern aber, das Kit schnell auf neue iOS-Versionen anzupassen. Lookout stellte außerdem fest, dass Teile des DarkSword-Codes Hinweise auf KI-unterstützte Entwicklung enthalten, erkennbar an strukturierten Kommentaren und typischen Merkmalen KI-generierter Programmiertexte.

Für Interessierte: Die sechs konkret ausgenutzten Sicherheitslücken tragen die Bezeichnungen CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 und CVE-2025-43520. Drei davon waren beim ersten Einsatz noch unbekannt und ungepatcht, sogenannte Zero-Days.

Was GHOSTBLADE auf deinem Gerät tut

Ist die Angriffskette erfolgreich, wird das eigentliche Schadprogramm aktiviert: GHOSTBLADE, ein Dataminer. Der Name ist Programm. GHOSTBLADE arbeitet vollständig innerhalb vorhandener iOS-Systemdienste, darunter die iPhone-Oberfläche (Springboard), der Schlüsselbund (Keychain), iCloud und Wi-Fi-Dienste und beginnt systematisch, Daten zu sammeln und an einen externen Server zu senden. Es startet dabei keinen eigenen, sichtbaren Prozess das macht es für Standardtools zur Erkennung nahezu unsichtbar.

Was dabei abfließt, ist erschreckend umfassend: iMessages, SMS, WhatsApp- und Telegram-Verläufe, E-Mails, gespeicherte Passwörter aus dem Schlüsselbund, die Safari-Chronik einschließlich Cookies, Fotos, Kontakte, Kalendereinträge, Notizen, Standortdaten und -historien, installierte Apps sowie Zugangsdaten zu Krypto-Wallets und Börsen wie Coinbase, Binance und Metamask.

Das Eigentlich-Gruselige: die Selbstlöschung

Was DarkSword von gewöhnlicher Spyware grundlegend unterscheidet, ist nicht, was es tut, sondern was es danach tut. Sobald die Daten übertragen sind, räumt GHOSTBLADE auf. Die zwischengespeicherten Dateien werden gelöscht, das Programm beendet sich selbst. Die Verweildauer auf dem Gerät liegt nach Angaben von Lookout nur im Bereich von Minuten.

Klassische Spyware wie Pegasus ist darauf ausgelegt, dauerhaft auf einem Gerät zu verbleiben und kontinuierlich zu überwachen. DarkSword wählt den entgegengesetzten Ansatz: einmal einbrechen, alles mitnehmen, verschwinden. Das Ziel ist, forensische Untersuchungen zu erschweren und tatsächlich: Viele Betroffene werden nie erfahren, dass auf ihrem Gerät etwas passiert ist.

Auch die orangenen und grünen Datenschutz-Indikatoren, die iOS anzeigt, wenn Kamera oder Mikrofon aktiv sind, werden durch DarkSword umgangen. Die Malware greift auf Datenbereiche zu, die diese Anzeigen nicht auslösen.

Wer steckt dahinter?

Sicherheitsforscher konnten mehrere voneinander unabhängige Akteure identifizieren, die DarkSword einsetzen. Darunter ist UNC6353, ein mutmaßlich russischer Spionageakteur, der bereits mit dem Vorgänger-Exploit-Kit Coruna aktiv war. UNC6353 nutzte DarkSword ab Dezember 2025 in sogenannten Watering-Hole-Angriffen gegen ukrainische Nutzer — kompromittierte Webseiten, auf die die Zielgruppe regulär zugreift. Daneben setzte der türkische kommerzielle Überwachungsanbieter PARS Defense DarkSword gegen Ziele in der Türkei und Malaysia ein, und eine weitere Gruppe (UNC6748) nutzte es in Saudi-Arabien über eine gefälschte Snapchat-Seite.

Was das bedeutet: DarkSword ist kein Werkzeug, das nur gegen politische Aktivisten oder Journalisten eingesetzt wird. Es wird an verschiedene Auftraggeber verkauft, wie ein Produkt. Lookout bezeichnet das Geschäftsmodell treffend als Exploit-as-a-Service. Wer die richtigen Kontakte und das nötige Geld hat, kann DarkSword kaufen und einsetzen, gegen wen auch immer.

Bin ich betroffen?

Direkte Nachweise einer Infektion sind ohne forensische Spezialwerkzeuge schwer zu führen, da DarkSword seine Spuren weitgehend beseitigt. iVerify hat seine kostenlose App bis Mai 2026 um eine Bedrohungserkennung für DarkSword erweitert, mit der aktive oder kürzliche Infektionen erkannt werden können. Da die Malware die Safari-Browserchronik und WebKit-Datenbanken nicht löscht, lassen sich die Domains des initialen Angriffs dort noch nachweisen, aber nur auf dem Gerät selbst oder über ein vollständiges Dateisystem-Backup.

Wer eines der betroffenen iOS-Updates installiert hatte (18.4 bis 18.7) und in diesem Zeitraum ukrainische Nachrichtenseiten, türkische oder arabische Nachrichtenportale oder ähnliche kompromittierte Seiten besucht hat, sollte wachsam sein.

Update 24. März 2026: DarkSword-Code wurde auf GitHub veröffentlicht. Sicherheitsforscher warnen, dass die Angriffsdateien ohne iOS-Kenntnisse innerhalb von Stunden einsatzbereit repliziert werden können. Apple hat daraufhin ein Notfall-Sicherheitsupdate für ältere Geräte herausgegeben. Dies erhöht die Dringlichkeit des Updates nochmals erheblich.

Was du jetzt konkret tun musst

Apple hat alle sechs von DarkSword genutzten Sicherheitslücken inzwischen geschlossen. Die wichtigste Maßnahme ist daher eindeutig: Software-Update installieren.

Prüfe unter Einstellungen → Allgemein → Softwareupdate, ob iOS 26.3.1 (für aktuelle Geräte) oder iOS 18.7.3 (für ältere Modelle) installiert ist. Wer ein iPhone hat, das keine Updates mehr erhält (älter als iPhone XS), sollte den Blockierungsmodus aktivieren: Einstellungen → Datenschutz & Sicherheit → Blockierungsmodus. Dieser schränkt einige Funktionen ein, verhindert aber zuverlässig Angriffe dieser Art.

Darüber hinaus empfiehlt es sich, automatische Updates zu aktivieren und die App iVerify Basic zu installieren, die derzeit kostenlos verfügbar ist und aktiv auf DarkSword-Infektionen prüft.