تحليل قائم على الأدلة لحملات DarkSword على iOS ومقام التعرض وحدود التصحيح المتغيرة.
تحليل تحريري للمخاطر؛ المقال ليس Apple أو DarkSword أو جهة تهديد أو بائع مراقبة أو قائمة ضحايا أو قاعدة حوادث.
بحث Google التقني ونتائج iVerify وLookout وإشعارات Apple وإرشادات التحديث وقياس App Store.
- وثّق Google نشر DarkSword ضد أهداف في السعودية وتركيا وماليزيا وأوكرانيا منذ نوفمبر 2025. ترتبط الحالات بمجموعات وعملاء مختلفين ولا تشكل حصيلة عالمية للضحايا.
- تقدير iVerify بوجود ما يصل إلى 270 مليون جهاز على إصدارات محددة من iOS 18 هو مقام محتمل للتعرض، وليس عددًا للإصابات. وتقول Apple إن الإصدارات الحالية المحدثة محمية، ثم وسعت الإصلاحات إلى فروع iOS أقدم.
الحملات المرصودة أضيق من المقام المحتمل
يفصل Google بين ثلاثة سياقات على الأقل: استخدمت UNC6748 موقعًا بطابع Snapchat لاستهداف مستخدمين سعوديين؛ وظهر نشاط مرتبط بـPARS Defense في تركيا ثم ماليزيا؛ واستخدمت UNC6353 مواقع أوكرانية مخترقة كمواقع انتظار. تُقيّم UNC6353 كمجموعة تجسس روسية مشتبه بها، لا كذراع مثبتة علنًا لحكومة محددة.
يعود النشاط الأوكراني إلى ديسمبر 2025 على الأقل وظل نشطًا حتى مارس 2026. وجدت Lookout دليلًا على إصابة محتملة واحدة في 12 فبراير. لا يثبت ذلك استهداف الملايين؛ فاختراق موقع لا يكشف عدد أجهزة iPhone المطابقة التي تلقت السلسلة وأكملت مراحلها.
ما الذي يقيسه رقم 270 مليونًا
قالت iVerify إن ما يصل إلى 270 مليون جهاز ما زال يشغّل iOS 18.4 إلى 18.6.2، وهي إصدارات يدعمها المحمّل الأوكراني. لم تنشر عددًا مقاسًا للزيارات المعنية أو تسليم الاستغلال أو نجاح رفع الصلاحيات أو تثبيت الحمولة أو الإصابات المؤكدة. إنه حد أعلى للسكان وليس عددًا للإصابات.
ذكرت Apple لاحقًا أن 79% من أجهزة iPhone التي أجرت معاملة على App Store في 7 يونيو كانت تستخدم iOS 26. هذه نسبة أحدث قائمة على نشاط المتجر، وليست إجمالي الأجهزة ولا تدقيقًا لتعرض DarkSword. دمج المقامين يصنع دقة زائفة.
ست ثغرات وحمولات مختلفة
وصف Google سلسلة JavaScript تشمل تنفيذ تعليمات في JavaScriptCore وتجاوز مصادقة المؤشر في dyld وخروجين من sandbox ورفع صلاحيات النواة. دعمت العينات المرصودة iOS 18.4 إلى 18.7، بينما دعم محمّل UNC6353 الأوكراني 18.4 إلى 18.6.
سلّمت الحملات GHOSTKNIFE أو GHOSTSABER أو GHOSTBLADE. يمكن للكود استخراج الرسائل والحسابات وسجل التصفح والموقع وبيانات Wi-Fi والصور والملفات وبيانات التطبيقات. تبين القدرات شدة الأثر بعد الاختراق، لكنها لا تثبت تشغيل كل وحدة أو سرقة كل نوع من كل جهاز.
تغير حد التصحيح بعد الإفصاح
قال Google إن السلسلة اكتمل إصلاحها في iOS 26.3 الصادر في 11 فبراير 2026، مع إصلاح معظم الثغرات قبل ذلك. ثم قالت Apple إن أحدث الإصدارات المحدثة من iOS 15 إلى iOS 26 محمية، ووسعت إتاحة iOS 18.7.7 في 1 أبريل، وأرسلت تنبيه Critical Security Update للأجهزة ذات iOS 18 القديم.
تقول Apple إن الأجهزة المحدثة والأجهزة التي فعّلت Lockdown Mode كانت محمية من هجمات الويب المبلغ عنها. ويحظر Safe Browsing في Safari النطاقات المعروفة. يبقى الإجراء تثبيت أحدث تحديث مدعوم، واستخدام Lockdown Mode عند تعذر التحديث مؤقتًا، والتحقيق في التعرض دون استنتاج الاختراق من الإصدار وحده.
ما ينبغي مراقبته
- فصل قياس الضحايا المؤكدين عن تقديرات الإصدارات.
- نطاقات انتظار جديدة وكود التسليم وتغطية Safe Browsing.
- نجاح مراحل الاستغلال وتشغيل الحمولة وتسريب مثبت.
- مستخدمون جدد لـDarkSword ومستوى ثقة الإسناد.
- اعتماد التحديثات في الأساطيل المدارة والقديمة.
- إشعارات Apple ونتائج الأدلة الجنائية المستقلة.
المصادر
- Google Threat Intelligence Group، 18 مارس 2026: الحملات والجهات والسلسلة والحمولات وزمن التحديثات
- iVerify، 18 مارس 2026: الموقع الأوكراني وتقدير ما يصل إلى 270 مليون حسب الإصدار
- Lookout، تحليل DarkSword: بنية التسليم والإصابة المحتملة وسلوك الحمولة
- Apple، محتوى أمان iOS 26.3: إصدار 11 فبراير 2026 وCVE-2026-20700
- Apple، إرشادات هجمات الويب، 14 أبريل 2026: iOS القديم وLockdown Mode وSafe Browsing والتحديث
- Apple Developer، استخدام iOS المقاس في 7 يونيو 2026: مقام معاملات App Store لا قياس إصابات
موجز الإشارة
- إشارة: نُشر DarkSword في أربع دول؛ 270 مليونًا ليس عدد الإصابات
- المنطقة: آسيا والمحيط الهادئ
- فئة السوق: اتجاهات الخدمات السحابية العالمية
البصمة التشغيلية
- مواقع مخترقة وتسليم الويب
- تحديث iOS وتغطية Lockdown Mode
- كشف التعرض والاختراق
- تحليل الحمولة والاستجابة
سياق السوق
- الأهمية التشغيلية: متوسط
- الأفق الزمني: الربع القادم
ما الذي تشاهده
- جرد إصدارات الأسطول
- بيانات النطاق وسجل الويب
- أدلة جنائية للجهاز
- تحديثات Apple الأمنية الحالية
إحاطة الأعضاء
السياق الأعمق للاتجاهات
سجّل الدخول بمستوى العضوية المناسب لفتح الإحاطة الكاملة وملاحظات المصادر.
مخصص لـ Strategic Circle
Strategic Circle
مفتوح لجميع القراء. افتح إحاطات الاتجاهات بعد الانضمام وتسجيل الدخول.
انضم إلى Strategic Circleفقط لـ Leadership Alliance
Leadership Alliance
للمشغلين والمستثمرين وفرق السياسات الذين يحتاجون إلى أدلة العلاقات ومسارات الفشل وملاحظات المصادر. سجل الدخول لفتح.
انضم إلى Leadership Alliance
