TA446 lần đầu nhắm vào iPhone bằng DarkSword iOS exploit kit
Tóm tắt chiến dịch
Nhóm APT TA446 — liên kết với Cơ quan An ninh Liên bang Nga (FSB), được biết đến rộng rãi hơn với các tên gọi COLDRIVER, Callisto, và Star Blizzard — vừa thực hiện một bước chuyển chiến thuật chưa từng có tiền lệ: lần đầu tiên nhắm mục tiêu vào thiết bị iOS và tài khoản iCloud, sử dụng bộ exploit kit DarkSword đã bị leak trên GitHub chỉ 3 ngày trước đó.
Chiến dịch được Proofpoint phát hiện ngày 26/03/2026, với email spear-phishing giả mạo Hội đồng Đại Tây Dương (Atlantic Council) gửi tới các mục tiêu thuộc chính phủ, think tank, giáo dục đại học, tài chính, và tổ chức pháp lý. Phạm vi nhắm mục tiêu rộng hơn đáng kể so với thông thường của TA446, cho thấy nhóm này đang khai thác cơ hội từ việc DarkSword trở thành "hàng hóa công cộng."
DarkSword khai thác chuỗi 6 CVE (3 trong số đó là zero-day tại thời điểm phát hiện), ảnh hưởng iOS 18.4 đến 18.6.2 — tương đương khoảng 221,5 triệu iPhone theo ước tính của iVerify. Apple đã phát hành bản vá trong iOS 18.7.6 và iOS 26.3.1.
Hành động cần làm ngay: Cập nhật toàn bộ thiết bị iOS trong tổ chức lên phiên bản mới nhất và block các IOC domain được liệt kê trong bài.
Timeline sự kiện
| Thời điểm | Sự kiện |
|---|---|
| Giữa tháng 3/2026 | iVerify, Google Threat Intelligence Group, và Lookout phát hiện DarkSword exploit kit — liên quan đến hạ tầng tấn công Coruna, được sử dụng chống các mục tiêu Ukraine |
| 23/03/2026 | Source code DarkSword bị leak trên GitHub, biến iOS full-chain exploit thành "hàng hóa" ai cũng có thể tiếp cận |
| 26/03/2026 | TA446 triển khai chiến dịch spear-phishing quy mô lớn giả mạo Atlantic Council. Proofpoint phát hiện volume email "tăng đáng kể" so với hoạt động trước đó |
| 27/03/2026 | Proofpoint công bố attribution với high confidence qua Twitter (@threatinsight). Malfors researchers xác nhận độc lập chiến dịch |
| 28–30/03/2026 | Nhiều hãng bảo mật (SecurityAffairs, SecurityWeek, The Hacker News) đưa tin chi tiết |
| Đã phát hành | Apple patch toàn bộ chain: iOS 18.7.6 / iOS 26.3.1. Cảnh báo lock screen cho thiết bị chạy phiên bản cũ |
Ai là TA446?
TA446 là nhóm tấn công được tài trợ bởi nhà nước Nga, hoạt động dưới quyền FSB (Cơ quan An ninh Liên bang). Cộng đồng bảo mật theo dõi nhóm này dưới nhiều tên gọi khác nhau:
| Tên gọi | Vendor |
|---|---|
| TA446 | Proofpoint |
| COLDRIVER / ColdRiver | Google TAG |
| Star Blizzard (trước đây SEABORGIUM) | Microsoft |
| Callisto | F-Secure |
| G1033 | MITRE ATT&CK |
Nhóm này hoạt động từ ít nhất 2017, chủ yếu nhắm vào các nước NATO, vùng Baltic, Bắc Âu, và Đông Âu (bao gồm Ukraine). Mục tiêu trọng tâm bao gồm:
Tổ chức tư vấn quốc phòng và tình báo
Tổ chức phi chính phủ (NGO) và liên chính phủ (IGO)
Think tank, giáo dục đại học
Cựu quan chức tình báo, chuyên gia về các vấn đề Nga
Công dân Nga ở nước ngoài
Cho đến chiến dịch này, TA446 chỉ tập trung vào credential phishing — đánh cắp thông tin đăng nhập qua các trang giả mạo. Việc adopt một iOS full-chain exploit đánh dấu bước nhảy vọt về năng lực kỹ thuật.
Lưu ý quan trọng: Proofpoint xác nhận hoạt động của TA446 không trùng lặp với UNC6353 — nhóm vận hành gốc của DarkSword/Coruna. Đây là hai tác nhân đe dọa riêng biệt, dù cùng sử dụng DarkSword.
Kill Chain: 3 nhánh tấn công, 1 email
Điểm đáng chú ý nhất trong chiến dịch này là cơ chế server-side device fingerprinting — cùng một email phishing, nhưng payload hoàn toàn khác nhau tùy theo thiết bị nạn nhân.
Luồng tấn công
Email được gửi từ tài khoản hợp lệ đã bị xâm nhập (compromised accounts), giả mạo "lời mời thảo luận" từ Atlantic Council. Một trong những mục tiêu được xác nhận theo tên là Leonid Volkov — chính trị gia đối lập Nga, Giám đốc Chính trị của Quỹ Chống tham nhũng.
Khi nạn nhân click link trong email, server phân luồng:
| Thiết bị truy cập | Payload |
|---|---|
| iPhone / iPad (Safari) | Chuyển hướng tới DarkSword exploit kit → triển khai GHOSTBLADE data miner |
| PC (Windows/macOS) | Tải file ZIP có mật khẩu chứa MAYBEROBOT backdoor |
| Automated analysis tools (sandbox, crawler) | Trả về PDF vô hại (decoy) |
Kỹ thuật này rất hiệu quả về mặt OPSEC: sandbox tự động của các hãng bảo mật chỉ nhận được file PDF sạch, khiến URL tạm thời "pass" qua các bộ lọc tự động. Chỉ khi iPhone thật truy cập mới kích hoạt exploit chain.
DarkSword: Anatomy của iOS exploit chain 7 stage
DarkSword là bộ exploit kit nhắm vào iOS, được iVerify, Google Threat Intelligence Group, và Lookout phát hiện vào giữa tháng 3/2026. Kit này khai thác chuỗi 6 CVE, trong đó 3 là zero-day tại thời điểm phát hiện, nhắm vào iOS 18.4 đến 18.6.2.
DarkSword chia sẻ hạ tầng tấn công với Coruna exploit kit — một bộ công cụ tương tự đã được sử dụng để tấn công các mục tiêu tại Ukraine, được phát hiện 2 tuần trước đó.
Chuỗi exploit 7 giai đoạn
Stage 1 — Initial Compromise (Xâm nhập ban đầu) Nạn nhân truy cập website chứa iframe độc hại được nhúng từ link trong email phishing.
Stage 2 — Loader Delivery Script rce_loader.js kiểm tra phiên bản iOS của thiết bị và chọn bộ exploit phù hợp. Đây là điểm "quality control" — chỉ thiết bị đúng target range mới nhận exploit, giảm tỷ lệ crash và phát hiện.
Stage 3 — Safari RCE (Remote Code Execution) Khai thác lỗ hổng JIT (Just-In-Time) compilation trong Safari WebKit để thiết lập khả năng đọc/ghi bộ nhớ tùy ý (arbitrary memory read/write). Đây là cửa ngõ để thực thi code ngoài sandbox của trình duyệt.
Stage 4 — Sandbox Escape Sử dụng lỗ hổng ANGLE OOB Write (Out-of-Bounds Write) trong subsystem đồ họa để nhảy từ process Safari sang GPU process — thoát khỏi sandbox trình duyệt.
Stage 5 — Daemon Compromise Khai thác lỗ hổng Copy-on-Write (COW) trong driver AppleM2ScalerCSCDriver để xâm nhập mediaplaybackd — một daemon hệ thống có quyền truy cập rộng hơn.
Stage 6 — Kernel Privilege Escalation Script pe_main.js thiết lập khả năng đọc/ghi ở cấp kernel — chiếm quyền điều khiển hoàn toàn hệ điều hành, vượt qua mọi cơ chế bảo vệ cấp ứng dụng.
Stage 7 — Implant Injection Inject JavaScript vào nhiều process hệ thống quan trọng: SpringBoard (giao diện chính), configd (cấu hình mạng), wifid (WiFi). Đây là giai đoạn triển khai GHOSTBLADE data miner.
PAC Bypass — Kỹ thuật đáng chú ý nhất
Pointer Authentication Code (PAC) là cơ chế bảo mật phần cứng của Apple Silicon — mỗi function pointer được ký mã hoá để ngăn chặn các cuộc tấn công corruption bộ nhớ. DarkSword bypass PAC bằng cách phát hiện rằng cấu trúc nội bộ của dyld (dynamic linker) nằm trên vùng stack memory có quyền ghi — cho phép ghi đè mà không cần qua cơ chế xác thực PAC.
Exploit còn thao tác thread state để vô hiệu hóa thêm 2 cơ chế bảo vệ:
SPRR (System Page Read-only Region Register) — bảo vệ vùng bộ nhớ hệ thống
JIT Cage — giới hạn vùng thực thi code JIT
Kỹ thuật bypass CVE-2026-20700 (PAC/TPRO bypass) cho thấy mức độ hiểu biết sâu về kiến trúc bảo mật phần cứng Apple Silicon — trước đây chỉ thấy ở các exploit được cho là do nhà nước phát triển.
GHOSTBLADE: Data miner toàn diện
Payload cuối cùng của chuỗi exploit là GHOSTBLADE — một data miner được thiết kế để thu thập gần như toàn bộ dữ liệu trên thiết bị iOS bị xâm nhập.
Đặc điểm kỹ thuật nổi bật:
Multi-process injection: Inject vào nhiều daemon hệ thống đồng thời (SpringBoard, configd, wifid, securityd) để tiếp cận các API khác nhau
WiFi credential theft sử dụng kỹ thuật dual injection — inject đồng thời vào cả
wifid(quản lý kết nối WiFi) vàsecurityd(quản lý keychain) để trích xuất mật khẩu WiFi đã lưuThu thập danh bạ, tin nhắn, email, lịch sử trình duyệt, dữ liệu ứng dụng
MAYBEROBOT (Nhánh PC)
Với nạn nhân truy cập từ PC, TA446 sử dụng backdoor MAYBEROBOT — một công cụ đã được nhóm này triển khai trong các chiến dịch trước đó. MAYBEROBOT được phân phối qua file ZIP có mật khẩu, một kỹ thuật kinh điển để bypass hệ thống quét file tự động trên email gateway.
IOC & Artifacts
Network Indicators
# C2 Domain (TA446 second-stage, confirmed)
escofiringbijou[.]com
# Compromised domains delivering DarkSword
motorbeylimited[.]com
bridetvstreaming[.]org
File Hashes
5fa967dbef026679212f1a6ffa68d575
Lưu ý: SHA-256 hash chưa được công bố công khai tại thời điểm viết bài. DarkSword loader trên VirusTotal tham chiếu tới domain
escofiringbijou[.]com, đây là bằng chứng corroboration cho việc TA446 sử dụng DarkSword.
Components xác nhận qua URLScan
Proofpoint xác nhận qua URLScan rằng domain do TA446 kiểm soát đang deliver các thành phần DarkSword:
✅ Redirector
✅ Loader
✅ RCE component
✅ PAC bypass component
❌ Sandbox escape component — chưa quan sát được
Điểm cuối cùng rất quan trọng: Proofpoint chưa xác nhận TA446 có thể triển khai toàn bộ exploit chain trong thực tế. Có khả năng nhóm này đang trong giai đoạn tích hợp, chưa master toàn bộ DarkSword chain.
CVEs liên quan
DarkSword khai thác 6 CVE:
CVE-2025-31277: Lỗ hổng trong WebKit (đã được vá trên iOS 18.6).
CVE-2025-43529: Lỗ hổng liên quan đến quá trình thu gom rác (garbage collection) trong lớp JIT của JavaScriptCore/WebKit, cho phép thực thi mã từ xa (đã được vá trên iOS 18.7.3 và 26.2).
CVE-2026-20700: Lỗ hổng trong thành phần
dyldgiúp kẻ tấn công vượt qua cơ chế xác thực con trỏ (PAC - Pointer Authentication Codes) ở chế độ người dùng để thực thi mã độc (đã được vá trên iOS 26.3).CVE-2025-14174: Lỗ hổng hỏng bộ nhớ trong ANGLE/WebKit, được sử dụng để thoát khỏi môi trường hộp cát (sandbox) thông qua tiến trình GPU (đã được vá trên iOS 18.7.3 và 26.2).
CVE-2025-43510: Lỗ hổng quản lý bộ nhớ trong nhân (kernel) của iOS, giúp kẻ tấn công giành quyền truy cập cấp cao nhất (đã được vá trên iOS 18.7.2 và 26.1).
CVE-2025-43520: Lỗ hổng hỏng bộ nhớ trong nhân (kernel) của iOS (đã được vá trên iOS 18.7.2 và 26.1).
MITRE ATT&CK Mapping
Mapping dưới đây sử dụng MITRE ATT&CK for Mobile kết hợp Enterprise framework cho phần phishing:
| Tactic | Technique | Mô tả trong chiến dịch |
|---|---|---|
| Initial Access | T1660 — Phishing | Email giả mạo Atlantic Council từ tài khoản compromised |
| Initial Access | T1456 — Drive-By Compromise | Redirect iPhone tới DarkSword exploit page |
| Execution | T1404 — Exploitation for Client Execution | Safari WebKit JIT exploit → RCE |
| Privilege Escalation | T1404 | Kernel exploit chain (PAC bypass → kernel R/W) |
| Defense Evasion | T1630.002 — Indicator Removal: File Deletion | Server-side filtering trả decoy cho sandbox |
| Collection | T1636 — Protected User Data | GHOSTBLADE thu thập contacts, messages, WiFi creds |
| Command & Control | T1437 — Application Layer Protocol | C2 qua escofiringbijou[.]com |
MITRE ATT&CK Group: G1033 — Star Blizzard
Nhận định
"Dân chủ hóa" exploit cấp quốc gia
Câu chuyện trọng tâm ở đây không phải TA446 — mà là việc GitHub leak biến iOS full-chain exploit thành commodity. Trước ngày 23/03/2026, một iOS exploit chain hoàn chỉnh có giá trị hàng triệu USD trên thị trường chợ đen, chỉ nằm trong tay một số ít nhà nước và broker exploit hàng đầu. Ba ngày sau leak, một nhóm APT vốn chỉ biết phishing credential đã tích hợp thành công ít nhất một phần của chain.
Justin Albrecht từ Lookout nhận định: "DarkSword đã đảo lộn nhận thức rằng iPhone miễn nhiễm với các mối đe dọa mạng, và rằng chỉ quan chức chính phủ mới là mục tiêu của các cuộc tấn công mobile tinh vi."
TA446 nhiều khả năng chỉ là nhóm đầu tiên bị phát hiện. Với source code public trên GitHub, chúng tôi dự đoán sẽ có thêm nhiều nhóm APT và thậm chí cả các nhóm tội phạm mạng adopt DarkSword trong các tuần tới.
TA446 pivot: Từ phishing form đến iOS full chain
Đây là bước nhảy capability đáng kể. TA446/COLDRIVER đã hoạt động gần 10 năm với chiến thuật gần như không đổi: tạo trang đăng nhập giả, đánh cắp mật khẩu. WhatsApp account takeover và backdoor MAYBEROBOT là những lần "nâng cấp" hiếm hoi.
Việc adopt DarkSword mở ra vector tấn công hoàn toàn mới — xâm nhập trực tiếp thiết bị thay vì chỉ đánh cắp credential. Tuy nhiên, cần cân nhắc:
Sandbox escape component chưa được quan sát trong thực tế
Proofpoint ghi nhận họ "chưa trực tiếp quan sát việc deliver iOS exploit kit" mà suy luận từ bằng chứng gián tiếp (DarkSword loader trên VirusTotal tham chiếu C2 domain của TA446)
Có khả năng TA446 đang trong giai đoạn tích hợp, chưa vận hành thành thạo toàn bộ chain
Góc nhìn cho tổ chức tại Việt Nam
iPhone được nhiều lãnh đạo doanh nghiệp, tổ chức tài chính, và cơ quan nhà nước tại Việt Nam tin dùng — thường với niềm tin rằng "iOS bảo mật hơn Android." DarkSword public phá vỡ assumption này ở mức cơ bản nhất.
Một số điểm cần lưu ý:
Mục tiêu của TA446 bao gồm think tank và tổ chức liên chính phủ — các viện nghiên cứu chính sách và tổ chức quốc tế hoạt động tại VN nằm trong vùng rủi ro
DarkSword public = rủi ro mobile không còn là lý thuyết. Trước đây, iOS exploit chain là vũ khí độc quyền nation-state. Giờ script kiddie có động lực đủ cũng tiếp cận được
MDM (Mobile Device Management) và Apple Lockdown Mode cần được đánh giá lại nghiêm túc — không phải "nice to have" mà là biện pháp phòng thủ thiết yếu cho nhân sự có quyền truy cập thông tin nhạy cảm
Khuyến nghị
Immediate (0-24h)
Cập nhật iOS lên phiên bản 18.7.6 hoặc iOS 26.3.1 cho toàn bộ thiết bị trong tổ chức — không có workaround thay thế
Block IOC domains trên DNS resolver và proxy:
escofiringbijou[.]com
motorbeylimited[.]com
bridetvstreaming[.]org
Scan email gateway cho các email giả mạo Atlantic Council hoặc tổ chức quốc tế tương tự trong 2 tuần gần nhất
Cảnh báo nội bộ cho nhân sự cấp cao và nhân sự có quyền truy cập thông tin nhạy cảm về chiến dịch phishing này
Short-term (1-7 ngày)
Review MDM compliance: Thiết lập minimum iOS version policy, force update cho thiết bị chưa đạt
Threat hunting trên email logs: Tìm pattern email có link (thay vì attachment) từ external sender giả mạo tổ chức quốc tế
Audit VirusTotal / sandbox cho hash DarkSword loader:
MD5: 5fa967dbef026679212f1a6ffa68d575
- Review web proxy logs cho kết nối tới các domain IOC liệt kê ở trên
Long-term
Triển khai Apple Lockdown Mode cho nhân sự high-risk (C-level, IT admin, nhân sự tiếp cận dữ liệu nhạy cảm). Lockdown Mode giảm đáng kể attack surface bằng cách disable JIT compilation trong Safari — chính xác là vector mà DarkSword khai thác
Đánh giá MTD (Mobile Threat Defense) solution như iVerify, Lookout, hoặc Zimperium. Các giải pháp này có khả năng detect exploit chain behavior mà MDM truyền thống không cover
Xây dựng playbook cho mobile exploit incident — phần lớn tổ chức chỉ có playbook cho endpoint (Windows/macOS), chưa có quy trình cho iOS compromise
Communication nội bộ: Cập nhật nhận thức rằng "iPhone bảo mật hơn" chỉ đúng khi thiết bị được cập nhật kịp thời. DarkSword hoạt động hoàn toàn trên các thiết bị chưa patch
