继近期披露针对旧版iOS的Coruna漏洞攻击链后，谷歌又曝光了另一套类似的攻击工具，据信名为DarkSword。以下为详细信息。

几周前，谷歌与iVerify联合发布两份报告，详细披露了Coruna漏洞。该漏洞通过串联多个iOS安全缺陷，入侵运行过时系统的iPhone设备。

报告发布后，Apple随即推送了iOS 16.7.15、iOS 15.8.7、iPadOS 16.7.15、iPadOS 15.8.7系统更新，修复了Coruna所利用的内核与WebKit漏洞。

值得注意的是，Apple今日发布了一份新的支持文档《更新iOS以保护iPhone免受网络攻击》，文中指出：安全研究人员近期发现，网络攻击通过恶意网页内容，针对过时的iOS版本发起攻击。

并进一步说明：
若你的iPhone系统保持最新，已处于安全防护状态。
若仍使用旧版iOS，请立即更新以保护数据。
运行 iOS 15 至 iOS 26 最新版本的设备均已获得防护；近期未更新系统的用户请尽快升级。

Apple已于2026年3月11日为iOS 15与iOS 16推送更新，为无法升级至最新系统的旧设备提供防护。搭载iOS 13或iOS 14的设备必须升级至iOS 15才能获得防护，并将在未来几天收到额外提醒，安装关键安全更新。

Safari浏览器中的Apple安全浏览（Apple Safe Browsing） 默认开启，可拦截攻击中识别的恶意网址。

注：无法更新设备的用户可考虑开启锁定模式（Lockdown Mode）（如设备支持），抵御恶意网页及其他威胁。

事实上，这份安全公告提及的不仅是Coruna，还包括另一套漏洞攻击链。谷歌威胁情报组（GTIG）将其命名为 DarkSword。

据GTIG透露，多家商业监控供应商及疑似国家支持的黑客组织，在不同行动中使用DarkSword，并补充道：这些威胁主体已将该攻击链用于针对沙特阿拉伯、土耳其、马来西亚及乌克兰的目标。

简而言之，DarkSword的运作原理与Coruna高度相似：通过串联多个漏洞，实现内核级（Kernel-level） 完全入侵。

与Coruna一样，DarkSword通过被入侵或伪装网站传播，经多阶段攻击后，部署GHOSTBLADE、GHOSTKNIFE、GHOSTSABER等恶意载荷。

GTIG列出与DarkSword相关的漏洞编号（CVE）及修复版本：

CVE-2025-31277（iOS 18.6修复）
CVE-2026-20700（iOS 26.3修复）
CVE-2025-43529（iOS 18.7.3、iOS 26.2修复）
CVE-2025-14174（iOS 18.7.3、iOS 26.2修复）
CVE-2025-43510（iOS 18.7.2、iOS 26.1修复）
CVE-2025-43520（iOS 18.7.2、iOS 26.1修复）

如需深入技术细节，可查阅GTIG报告。该报告由Lookout与iVerify联合发布，两家机构也同步分享了各自的研究发现。

最后再次提醒：请务必确保你的设备运行最新版iOS。