Un kit d’exploitation iOS ultra-sophistiqué, baptisé DarkSword, vient d’arriver entre les mains d’un nouveau gang de pirates russes. Le groupe russe TA446, alias Callisto, s’en sert à grande échelle dans des faux mails d’invitation.
Un kit d’exploitation iOS nommé DarkSword a été découvert il y a quelques semaines. Mystérieusement apparu sur Github, le kit permet de pirater des iPhone qui n’ont pas été mis à jour depuis des années. Il suffit d’attirer la cible sur un site web piégé pour déclencher l’attaque et la prise de contrôle de l’appareil. En exploitant au moins six failles de sécurité, il peut siphonner photos, messages, mots de passe, données crypto, localisation ou historiques, puis effacer presque toute trace de son passage en quelques minutes. Actif depuis fin 2025, le kit est utilisé par des cybercriminels, dont des groupes liés à la Russie.
New reports on TA446 using the DarkSword iOS exploit kit were intriguing. The DarkSword iOS exploit kit was recently published on GitHub, but Proofpoint had not yet observed it in use in the wild. A DarkSword loader uploaded to VirusTotal (MD5: 5fa967dbef026679212f1a6ffa68d575)…
— Threat Insight (@threatinsight) March 27, 2026
Peu après l’apparition de DarkSword sur Github, les chercheurs de Threat Insight ont découvert une nouvelle campagne reposant sur le kit de piratage. Les chercheurs ont remarqué que l’outil était désormais exploité par le groupe criminel TA446, alias Callisto. Actif depuis l’automne 2015, le gang est affilié à la Russie. Il est spécialisé dans les campagnes de phishing visant des militaires, des responsables gouvernementaux, et des journalistes en Europe et en Ukraine. Le gang se distingue le plus souvent par ses campagnes de phishing très sophistiquées.
À lire aussi : Alerte rouge sur l’iPhone – Apple révèle qu’une opération d’espionnage frappe la France
Dans le cadre de leurs opérations, les cybercriminels se sont mis à exploiter DarkSword. Les pirates russes se sont surtout servis du kit d’exploitation pour piéger des responsables d’administrations et d’agences gouvernementales, des organisations de politique internationale proches de l’Ukraine, des universités, des centres de recherche, des banques ou encore des avocats.
Selon les chercheurs, les pirates se font passer pour l’Atlantic Council, un think tank américain spécialisé dans les relations internationales et les questions de sécurité, ou d’autres institutions analogues. L’attaque commence par la réception d’un mail particulier, qui contient une invitation à un événement ou le partage d’un document. Dans le courriel, on trouve un lien présenté comme un agenda, un article ou une page de conférence. Si la victime clique sur ce lien, l’attaque va commencer. Le site affiche du contenu crédible, de manière à ne pas éveiller les soupçons de la cible. Si ce n’est pas un iPhone, la victime est souvent renvoyée vers du contenu inoffensif. Si l’appareil est un iPhone vulnérable, DarkSword va exploiter une série de failles pour en prendre le contrôle.
L’iPhone reste fonctionnel et l’utilisateur continue de naviguer normalement. Mais, en coulisses, le virus pille toutes les données. Comme on peut le voir, le malware est toujours exploité par des criminels. Pour se protéger, on vous encourage de garder votre iPhone bien à jour.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.