Эксплойт DarkSword, которым пользовались группы кибершпионажа и клиенты турецкого коммерческого поставщика слежки, опубликовали в сети. Теперь его может скачать, изучить и переработать любой желающий. Google Threat Intelligence Group отслеживала этот инструмент с ноября 2025 года.
Раньше это было оружие для работы с конкретными целями. Правительства, журналисты, топ-менеджеры. Не массовый инструмент. Теперь он общедоступен, и граница между «элитным шпионажем» и «массовой атакой» фактически исчезла.
После успешного взлома на устройство устанавливаются три вредоносные программы: GhostBlade, GhostKnife и GhostSaber. Они работают в связке: крадут данные, создают бэкдор для повторного входа и выполняют произвольный код. Весь процесс укладывается в один клик.
Но главное, о чём почти не пишут, это то, что взломанный iPhone это уже не проблема одного смартфона.
Стив Кобб, директор по информационной безопасности SecurityScorecard, объяснил это прямо: «Получив учётные данные с телефона, злоумышленники выходят за пределы устройства. Они попадают в облачные платформы, корпоративные SaaS-сервисы и партнёрские системы без какого-либо дополнительного взлома».
Посмотрите, что сегодня хранится на обычном рабочем телефоне. Корпоративная почта и мессенджеры, двухфакторная аутентификация, токены доступа к облаку, каналы управления AI-агентами через мессенджеры. Если директор по безопасности использует iPhone для подключения к тому же Telegram-аккаунту, через который управляется AI-агент на его компьютере, телефон становится удобным входом во всю инфраструктуру.
Это не теоретический сценарий. Это то, как устроена работа большинства компаний прямо сейчас.
Отдельно стоит отметить масштаб. DarkSword это уже второй публичный эксплойт-кит для iOS только за этот месяц. Ранее появился Coruna с 23 уязвимостями, которые покрывали версии с iOS 13 по 17.2.1. DarkSword закрывает диапазон от iOS 18.4 до 18.7. Между ними охвачены практически все версии iPhone, которые сейчас находятся в эксплуатации.
Что делать. Обновиться до iOS 26.3, в которой уязвимость закрыта. Если обновление недоступно, включить режим блокировки. Если в компании разрешено использовать личные устройства для рабочих задач, стоит считать, что все не обновлённые телефоны уже скомпрометированы. И проверить, к каким корпоративным ресурсам вообще есть доступ с мобильных, потому что именно там сейчас уязвимое место.