חוקרי אבטחה מחברות Lookout, iVerify וגוגל חשפו (יום ד', 18.03.26) נוזקת ריגול עוצמתית בשם "Darksword", שהושתלה בעשרות אתרי אינטרנט באוקראינה בשבועות האחרונים. הגילוי מצביע על שוק משגשג של כלי פריצה מתוחכמים, המסוגלים לחדור למכשירי אייפון של חברת אפל ולגנוב מידע רגיש, כולל נתוני ארנקים של מטבעות דיגיטליים. על-פי הדיווח, הנוזקה הופצה למשתמשים שהריצו גרסאות iOS 18.4 עד 18.6.2, אשר הופצו על-ידי אפל במהלך שנת 2025. מדובר בפעם השנייה החודש שבה נחשף כלי ריגול המכוון למכשירי החברה, לאחר שב-3 במרץ נחשפה נוזקה דומה בשם "Coruna". החוקרים ציינו כי שתי הנוזקות נמצאו על אותם שרתים, עובדה המעלה חשד לקשר בין המפעילים. מבצעי פריצה בפריסה עולמית גוגל מסרה כי חוקריה זיהו מספר ספקים מסחריים והאקרים הקשורים למדינות המשתמשים ב-Darksword בקמפיינים נפרדים נגד מטרות בערב הסעודית, טורקיה, מלזיה ואוקראינה. הקמפיינים במלזיה ובטורקיה קושרו לספק מעקב מסחרי טורקי בשם PARS Defense, שסירב להגיב לפניית הכתבים בנושא. הערכות המומחים מצביעות על כך שבין 220 ל-270 מיליון מכשירי אייפון ברחבי העולם עדיין מריצים גרסאות תוכנה חשופות, וזאת למרות שאפל שחררה תיקוני אבטחה עבור הפרצות ששימשו את Darksword. אפל הבהירה בתגובה כי מדובר בניצול של תוכנות שאינן מעודכנות, והדגישה כי עידכון המכשיר לגרסה האחרונה הוא הצעד החשוב ביותר לשמירה על אבטחת המידע. ירידה ברמת המקצועיות של התוקפים לדברי רוקי קול, ממייסדי iVerify, הגילוי של שני כלי פריצה עוצמתיים בתוך חודש מעיד על מערכת אקולוגית חזקה לכלי פריצה, שבעבר היו מוגבלים רק למבצעי מודיעין ברמה מדינתית. עם זאת, החוקרים ציינו כי הצליחו לחשוף את הפעילות בשל טעויות אבטחה בסיסיות של התוקפים, דבר שאינו אופייני ליחידות סייבר ממשלתיות. העובדה שהתוקפים משתמשים בכלים אלו בהתקפות המוניות ללא הקפדה על אבטחת מבצעים (OPSEC) גבוהה, מעידה על כך שהם אינם חוששים מחשיפת הכלים. ככל הנראה, מפעילים המזוהים עם רוסיה עמדו מאחורי תשתית השרתים ששימשה את שתי הנוזקות שנחשפו החודש.