Eine hochgefährliche Angriffswerkzeug namens DarkSword bedroht derzeit Hunderte Millionen iPhone-Nutzer weltweit. Das extrem ausgeklügelte Exploit-Kit kann Geräte nahezu lautlos über kompromittierte Webseiten übernehmen. Sicherheitsforscher von Google, Lookout und iVerify warnen vor einem gefährlichen Evolutionssprung bei mobiler Cyberkriminalität.
Angesichts solch komplexer Cyber-Gefahren ist es für iPhone-Nutzer wichtiger denn je, die Grundlagen der Geräte-Sicherheit zu verstehen. Dieses kostenlose Lexikon erklärt die 53 wichtigsten Begriffe rund um Ihr iPhone einfach und verständlich. Jetzt iPhone-Lexikon gratis sichern
Wie der lautlose Angriff funktioniert
Der Angriff benötigt kein Klicken auf Links oder das Herunterladen von Apps. Besucht ein Opfer mit dem Safari-Browser eine präparierte Webseite, startet eine aus sechs Schwachstellen – darunter drei Zero-Day-Lücken – bestehende Angriffskette. Diese bricht aus dem Safari-Sicherheitssandbox aus und erlangt tiefgreifenden Kernel-Zugriff auf iOS.
Innerhalb von Sekunden werden spezielle Schadprogramme mit den Codenamen Ghostblade, Ghostknife und Ghostsaber installiert. Sie exfiltrieren im „Hit-and-Run“-Stil sensible Daten: von SMS und Standortverlauf bis hin zu Krypto-Wallet-Zugängen und Apple-Health-Daten. Anschließend löschen sie ihre Spuren.
Wer steckt hinter den Angriffen?
DarkSword wird nicht von einer einzigen Gruppe kontrolliert. Seit November 2025 nutzen verschiedene Akteure das Toolkit. Google identifizierte die mutmaßlich russische, staatlich unterstützte Gruppe UNC6353, die über ukrainische Regierungswebseiten angreift.
Parallel setzen kommerzielle Überwachungsanbieter DarkSword in Saudi-Arabien, der Türkei und Malaysia ein. Teilweise locken sie Opfer über gefälschte Social-Media-Login-Seiten. Während staatliche Akteure Spionage betreiben, zielen andere Angreifer gezielt auf Kryptobörsen-Apps ab – ein klares Zeichen für finanzielle Motive. Angriffe auf Nutzer in den USA sind bisher nicht bekannt.
Der wachsende Markt für Cyberwaffen
DarkSword erscheint nur Wochen nach der Enthüllung des ähnlich mächtigen iOS-Exploit-Kits Coruna. Diese schnelle Abfolge beweist: Es gibt einen florierenden Zweitmarkt für hochwertige Cyberwaffen.
Was früher nur Geheimdiensten vorbehalten und unerschwinglich teuer war, ist heute für kriminelle Gruppen mit geringeren Mitteln verfügbar. Diese Demokratisierung von High-End-Exploits verändert die Bedrohungslage grundlegend. Das Risiko trifft nicht mehr nur Journalisten oder Politiker, sondern die breite Öffentlichkeit und Unternehmensnetzwerke.
Besonders für Einsteiger kann das Fachchinesisch der IT-Sicherheit abschreckend wirken, doch Wissen ist der beste Schutz gegen Betrug. Erfahren Sie in diesem kompakten PDF-Guide, was Begriffe wie iOS oder Sicherheitslücken wirklich bedeuten. Kostenloses iPhone-Wissen direkt per E-Mail anfordern
Welche Geräte sind betroffen – und was tun?
Das Exploit-Kit zielt speziell auf iPhones mit den iOS-Versionen 18.4 bis 18.7 ab. Diese 2025 veröffentlichten Systeme laufen noch auf etwa 14,2 Prozent aller iPhones weltweit – das sind rund 270 Millionen potenziell gefährdete Geräte.
Apple hat die zugrundeliegenden Schwachstellen bereits in späteren Updates behoben. Alle Lücken sind mit iOS 26.3 gepatcht. Die dringende Empfehlung lautet: Sofort auf das neueste iOS-Update aktualisieren. Für besonders gefährdete Personen bietet der Lockdown-Modus von Apple einen wirksamen Schutz, der die DarkSword-Angriffskette blockiert. Apple hat zudem kritische Sicherheitsupdates für ältere Geräte bereitgestellt, die kein aktuelles iOS mehr unterstützen.
Die Zukunft mobiler Bedrohungen
Die Cybersicherheits-Community rechnet mit einer weiteren Zunahme solcher Angriffe. Da die Einstiegshürde für komplexe Exploit-Ketten sinkt, werden Smartphones als zentrale Speicher für persönliche und berufliche Identitäten noch attraktiver für Kriminelle und Spione.
Die Industrie muss reagieren: Sicherheitsanbieter entwickeln mobile Endpoint-Detection-Lösungen, während Hersteller wie Apple neue Sicherheitsarchitekturen benötigen, um browserbasierte Angriffe bereits vor der Kernel-Execution zu stoppen. Bis dahin bleibt die wichtigste Verteidigungslinie für alle Nutzer: Software-Updates sofort installieren.
