Eine hochsophistische Cyber-Spionagekampagne legt massive Sicherheitslücken in alten Apple-Betriebssystemen offen. Hunderte Millionen Geräte sind von vollständiger Datenkompromittierung bedroht.
Forscher der Google Threat Intelligence Group, iVerify und Lookout enthüllten am 18. und 19. März 2026 die Existenz des neuen Exploit-Kits „DarkSword“. Die Schadsoftware zielt gezielt auf iPhones mit veralteter Software ab und gefährdet schätzungsweise 220 bis 270 Millionen Geräte weltweit. Die Entdeckung unterstreicht einen besorgniserregenden Trend: Hoch entwickelte Spyware verbreitet sich zunehmend von staatlichen Geheimdiensten hin zu kommerziellen Anbietern und finanziell motivierten Angreifern.
Angesichts der aktuellen Bedrohungslage durch komplexe Cyber-Angriffe ist es für iPhone-Nutzer wichtiger denn je, die Technik ihres Geräts sicher zu beherrschen. Dieser kostenlose Guide erklärt Ihnen wichtige Sicherheitsfunktionen und die richtige Bedienung ganz ohne Fachchinesisch. Kostenloses iPhone Starterpaket jetzt sichern
So funktioniert der Angriff
Der Angriff ist tückisch einfach für das Opfer: Es reicht der Besuch einer kompromittierten Website. Bei dieser „Watering Hole“-Attacke nutzt DarkSword eine Kette aus sechs verschiedenen Schwachstellen, um Apples Sicherheits-Sandboxes zu umgehen und die vollständige Kontrolle über das Gerät zu erlangen.
Die Exploit-Kette beginnt mit Speicherkorruptions-Schwachstellen in JavaScriptCore. Anschließend umgeht die Malware den Pointer Authentication Code, entkommt dem Safari-Sandbox über den GPU-Prozess und eskaliert schließlich die Berechtigungen innerhalb des iOS-Kernels. Nach erfolgreichem Eindringen installiert DarkSword drei separate Schadprogramme: Ghostblade, Ghostknife und Ghostsaber. Diese extrahieren systematisch sensible Daten wie Krypto-Wallet-Informationen, gespeicherte Passwörter, Standortverläufe und verschlüsselte Nachrichten. Im Gegensatz zu traditioneller Spyware agiert DarkSword nach einer „Hit-and-Run“-Methode: Die Daten werden innerhalb weniger Minuten exfiltriert, bevor sich die Malware selbst löscht, um Spuren zu verwischen.
Kommerzielle Spyware und staatliche Akteure
Hinter DarkSword verbirgt sich eine hochorganisierte und gut finanzierte Operation. Laut Google wird das Exploit-Kit mindestens seit November 2025 von einer Kombination aus kommerziellen Überwachungsanbietern und mutmaßlich staatlich unterstützten Spionagegruppen genutzt.
Zielpersonen in der Ukraine, Saudi-Arabien, der Türkei und Malaysia wurden identifiziert. In der Ukraine nutzte die mutmaßlich russische Gruppe UNC6353 den Exploit, um Daten von Bürgern zu sammeln. Kampagnen in der Türkei und Malaysia werden dem türkischen Überwachungsanbieter PARS Defense zugeschrieben. DarkSword ist bereits der zweite massive iOS-Exploit, der innerhalb eines Monats aufgedeckt wurde. Anfang März 2026 enthüllten Forscher das Framework „Coruna“, das von derselben Gruppe genutzt wurde. Beide Kits wurden auf derselben Server-Infrastruktur gehostet – ein Hinweis auf eine gemeinsame Lieferkette oder ein kollaboratives Netzwerk.
Wer ist gefährdet und wie schützt man sich?
Die Gefahr ist real, aber begrenzt: DarkSword kann nur ältere Versionen von iOS kompromittieren. Konkret sind Geräte mit den iOS-Versionen 18.4 bis 18.7 (veröffentlicht zwischen März und August 2025) betroffen. Code-Verweise deuten darauf hin, dass das Framework von einem noch älteren Überwachungstool portiert wurde.
Um Sicherheitsrisiken wie DarkSword besser zu verstehen, hilft es, die Apple-Fachsprache sicher einordnen zu können. Dieses Gratis-Lexikon erklärt die 53 wichtigsten Begriffe rund um Ihr iPhone leicht verständlich und hilft Ihnen, Technik-Warnungen künftig besser zu verstehen. Gratis iPhone-Lexikon als PDF anfordern
Apple hat Patches für alle sechs zugrundeliegenden Schwachstellen in späteren Updates, einschließlich iOS 26.3, bereitgestellt. Das Problem ist die Trägheit der Nutzer: Laut iVerify nutzen noch etwa 14,2 % aller aktiven iPhone-Besitzer die anfälligen iOS-Versionen. Das sind global Hunderte Millionen exponierte Geräte. Ein Apple-Sprecher betonte, die Angriffe zielten auf veraltete Software ab. Die wichtigste Schutzmaßnahme bleibe die sofortige Installation aller Software-Updates. Sicherheitsexperten raten zudem, automatische Updates zu aktivieren und bei hohem Risiko den „Lockdown-Modus“ von Apple einzuschalten.
Der Markt für Cyber-Waffen boomt
Die zeitnahen Entdeckungen von Coruna und DarkSword markieren einen fundamentalen Wandel. Sie belegen die Existenz eines florierenden sekundären Marktes für Cyber-Waffen höchster Qualität. Vollständige iOS-Exploits, die ohne Interaktion des Nutzers funktionieren, waren früher Millionengeschäfte und exklusiv Top-Geheimdiensten vorbehalten. Heute verpacken und verkaufen kommerzielle Spyware-Anbieter diese Fähigkeiten an ein breiteres Klientel – auch an rein finanziell motivierte Akteure.
Die gezielte Diebstahl-Funktion für Kryptowährungen unterstreicht diesen Shift. Während staatliche Akteure typischerweise Spionage betreiben, zielen die Module von DarkSword auf direkte finanzielle Bereicherung ab. Diese Konvergenz von staatlicher Angriffssophistikation mit kriminellen Zielen schafft eine hoch volatile Bedrohungslage – für Unternehmen und Privatnutzer gleichermaßen.
Was kommt auf uns zu?
Cybersicherheitsforscher rechnen für das Jahr 2026 mit der Entdeckung weiterer Exploit-Frameworks für mobile Ökosysteme. Die Zeitspanne zwischen der ersten Nutzung einer Zero-Day-Schwachstelle und ihrer öffentlichen Aufdeckung dürfte sich weiter verkürzen. Der Schaden in diesem Zeitfenster bleibt jedoch erheblich.
Regulierungsbehörden und Tech-Konzerne stehen unter wachsendem Druck, den kommerziellen Spyware-Markt einzudämmen. Bis dahin lastet die Verteidigungslast auf schnellen Patch-Auslieferungen und der Kooperation der Nutzer. Solange Hunderte Millionen Geräte mit veralteter Software betrieben werden, bleiben Legacy-Schwachstellen ein primäres Einfallstor für moderne Cyberangriffe. Die Frage ist nicht ob, sondern wann die nächste große Kampagne zuschlägt.
