다크소드(DarkSword) iOS 취약점이 아이폰 정보 탈취 공격 악용

DarkSword 로 명명된 iOS 기기용 새로운 익스플로잇 키트와 배포 프레임 워크가 암호화폐 지갑 앱의 데이터를 포함한 광범위한 개인 정보를 탈취하는 데 사용
DarkSword는 iOS 18.4부터 18.7까지를 실행하는 아이폰을 표적으로 삼으며 이달 초 공개된 Coruna 익스플로잇 체인을 사용한 러시아계로 추정되는 UNC6353을 비롯한 여러 공격 주체와 연관되어 있음
모바일 보안 기업 룩아웃(Lookout)의 연구원들은 코루나(Coruna) 공격에 사용된 인프라를 조사하던 중 다크소드를 발견
구글의 위협 인텔리전소 그룹(Threat Intelligence Group)과 아이베리파이(iVerify)도 이 미확인 위협과 이를 악용하는 공격자들을 보다 포괄적으로 분석하기 위해 협력
iVerify의 조사 결과에 따르면 해당 익스플로잇 체인에서 악용된 모든 취약점(샌드박스 탈출,권한 상승,원격 코드 실행)은 이미 알려졌거나 문서화 된 것이며 애플은 최신 iOS 릴리스에서 이를 이미 해결
DarkSword 익스플로잇 키트는 CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510, CVE-2025-43520으로 추적되는 6개의 취약점 악용

iOS

DarkSword 공격

Google Threat Intelligence Group(GTIG)은 다크소드가 적어도 2025년 11월부터 여러 위협 행위자들에 의해 사용됐으며 이들은 세 가지 별개의 악성코드 패밀리를 배포
GHOSTBLADE:자바스크립트 기반 데이터 마이닝 도구
암호화폐 지갑 데이터, 시스템 및 연결 정보, 브라우저 기록, 사진, 위치 및 이동 경로, iMessage, Telegram, WhatsApp, 이메일, 통화 및 연락처의 통신 데이터를 포함한 광범위한 정보를 탈취
GHOSTKNIFE:다양한 유형의 데이터(로그인된 계정, 메시지, 브라우저 데이터, 위치 기록, 녹음 파일)를 유출할 수 있는 백도어
GHOSTSABER:기기 및 계정을 열거하고, 파일 목록을 확인하며, 자바스크립트 코드를 실행하고, 데이터를 탈취할 수 있는 자바스크립트 백도어
해당 익스플로잇 체인을 사용한 것으로 관측된 첫 번째 공격자는 UNC6748로 스냅챗을 사칭한 웹사이트를 통해 사우디아라비아 사용자를 표적으로 한 공격을 수행
GTIG에 따르면 2025년 11월 말 터키에서 iOS 18.4~18.7을 실행하는 기기를 대상으로 터키의 상업용 감시 업체인 PARS Defense와 관련된 활동에서 DarkSword가 사용
GTIG는 UNC6748 활동과 달리 이번 캠페인은 OPSEC(작전 보안)에 더 많은 주의를 기울여 진행되었으며 익스플로잇 로더와 일부 익스플로잇 단계에 난독화를 적용하고, 서버와 피해자 간 익스플로잇 전송 시 ECDH 및 AES를 사용하여 암호화했다고 지적합니다.
구글 연구진은 말레이시아에서 PARS Defense의 또 다른 고객이 GHOSTSABER 백도어를 전달하는 데 DarkSword를 사용하는 것을 포착
러시아 스파이 활동으로 의심되는 UNC6353은 지난여름부터 Coruna 익스플로잇 키트를 사용해 왔으며 2025년 12월부터는 우크라이나 표적을 대상으로 DarkSword 익스플로잇을 활용하기 시작
이러한 활동은 2026년 3월까지 지속 해킹된 웹사이트를 이용한 워터링홀 공격을 통해 GHOSTBLADE 악성코드를 배포하여 침해된 대상의 데이터를 탈취
구글 연구진 에 따르면 UNC6748과 PARS Defense에 기인한 초기 DarkSword 사용 사례는 iOS 18.7도 지원했으나 UNC6353의 경우 운영 시기가 더 늦었음에도 해당 기능을 관찰하지 못함
오케스트레이터는 App Access, Wi-Fi, Springboard, Keychain, iCloud와 같은 iOS의 특권 서비스에 자바스크립트 엔진을 주입한 다음과 같은 정보를 수집하는 데이터 탈취 모듈(예: GHOSTBLADE)을 활성화
스크린 샷 및 숨겨진 이미지 파일을 포함한 사진
WhatsApp 및 Telegram 데이터베이스
암호화폐 지갑(Coinbase, Binance, Ledger 등)
문자 메시지(SMS)
주소록
통화 기록
위치 기록
브라우저 기록
쿠키
Wi-Fi 기록 및 비밀번호
Apple Health 데이터
캘린더
메모
설치된 애플리케이션
연동된 계정 된 것이 아님을 시사합니다.
암호화폐 지갑 유출 (가상화폐 유출)
주요 지갑 
Kraken, Gemini, Bitfinex, KuCoin, OKX, OKEx, Huobi, HTX, Gate.io, Bybit, Bitget, MEXC, Crypto.com
DeFi 및 Web3 지갑 앱 (DeFi/Web3 Apps)
사용자의 자산에 직접 접근할 수 있는 비수탁형 지갑과 서비스들을 집중적으로 노립니다.
목록: 1inch, SafePal, TokenPocket, BitPay, Gnosis Safe, 각종 DeFi 스왑(Swap) 및 탈중앙화 거래소(DEX) 관련 앱
데이터 추출을 위한 주요 검색 키워드
기기 내부의 파일이나 데이터베이스에서 암호화폐 관련 정보를 찾으려고 다음 키워드들을 사용합니다.
일반 용어: wallet, blockchain, web3, nft, crypto
특정 코인: bitcoin, btc, ethereum, eth
탈취 시도 데이터 (Forensic Assets)
실제 자산 탈취로 이어질 수 있는 민감한 파일들을 추출
Keychain 데이터베이스: /private/var/Keychains/keychain-2(.)db (비밀번호 및 인증 정보)
브라우저 데이터: Safari 히스토리 및 쿠키를 통해 웹 기반 지갑 접속 정보 확인
Lookout은 DarkSword가 금전적 목적을 가진 러시아 위협 행위자에 의해 사용되며 동시에 러시아 정보기관의 요구 사항에 맞는 첩보 활동도 수행하고 있다고 추정
iPhone 사용자는 이번 달 초에 출시된 iOS 26.3.1(최신 버전)로 업데이트 하고 악성코드의 표적이 될 위험이 컸으면 잠금 상태를 활성화할 것을 권장합니다.
최신 iOS 버전으로 업데이트할 수 없는 구형 기기를 사용하는 사용자는 Apple이 Coruna 취약점 때와 마찬가지로 수정 사항을 이전 버전으로 적용할 수도 있으나 아직 확인된 바는 없음
아마 국가 주도로 이루어진 것으로 추측
즉 아이폰 쓴다고 방심하는 것은 금물 즉 일반 사용자도 최신 보안 업데이트로 사용을 하고 일명 정부 관련 관계자 분들도 나 아이폰임 하고 안심하지 말고 업데이트 해야 하면 최소 약 2억 대 이상의 기기가 취약할 것으로 추정 그리고 북한이나 중국이 이런 것을 악용해서 또 다른 취약점을 발견했을지 모르니 그냥 업데이트 나오면 하시는 걸로 앞서 이야기했지만, 기밀 취급하시는 분들은….