文章总结： Proofpoint披露俄罗斯国家支持的黑客组织TA446利用泄露的DarkSwordiOS漏洞套件，通过伪造大西洋理事会讨论邀请邮件针对iOS设备发动鱼叉式钓鱼攻击，部署Ghostblade恶意软件与Mayberobot后门，目标涵盖政府、智库等多领域；苹果已向用户推送锁屏更新提醒以应对威胁，泄露漏洞套件或致移动威胁格局恶化。 综合评分： 85 文章分类： 漏洞分析,恶意软件,威胁情报,移动安全,web安全

TA446 在针对性鱼叉式网络钓鱼活动中部署 DarkSword iOS 漏洞套件

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年3月31日 21:31 北京

Proofpoint披露了一项针对性的电子邮件活动细节，这些活动中与俄罗斯有关联的威胁行为者利用最近披露的DarkSword漏洞套件针对iOS设备。

这一活动被高度确定归因于俄罗斯国家支持的威胁组织TA446，该组织也被更广泛的网络安全社区追踪，名称包括Callisto、COLDRIVER和星暴（前称SEABORGIUM）。该机构被评估为隶属于俄罗斯联邦安全局（FSB）。

该黑客组织以发动鱼叉式钓鱼活动而闻名，旨在从目标那里获取凭证信息。然而，过去一年中，该威胁行为者发起的攻击针对受害者的WhatsApp账户，并利用各种自定义恶意软件家族窃取敏感数据。

Proofpoint和Malfors指出的最新活动涉及利用伪造的“讨论邀请”邮件，伪造大西洋理事会，通过DarkSword漏洞套件传播数据挖掘恶意软件GHOSTBLADE。这些邮件由被攻破的发件人于2026年3月26日发送。邮件收件人之一是俄罗斯著名反对派政治家、反腐基金会政治主任列昂尼德·沃尔科夫。

据称，Proofpoint的安全工具触发的自动分析被重定向到一份无害的诱饵PDF文档，这很可能是因为服务器端的过滤机制只引导iPhone浏览器访问该漏洞工具包。

Proofpoint表示：“我们此前并未观察到TA446会针对用户的iCloud账户或苹果设备，但泄露的DarkSword iOS漏洞利用工具包的采用，使该行为者能够针对iOS设备进行攻击。”

这家企业安全公司还指出，过去两周该威胁行为方的邮件量“显著增加”，并补充说，这些攻击导致通过密码保护的ZIP文件部署了一个名为MAYBEROBOT的已知后门。

该组织使用DarkSword的事实也得到了证据，一台上传到VirusTotal的DarkSword加载器中提到了“escofiringbijou[.”。“com”，这是归因于威胁行为者的第二阶段域名。

一项 urlscan.io 结果显示，TA446控制的域曾为DarkSword漏洞套件服务，包括初始重定向器、漏洞加载器、远程代码执行以及指针认证码（PAC）绕过组件。然而，没有证据表明沙盒逃脱曾被实施。

据怀疑，TA446正在将DarkSword漏洞工具包重新利用用于凭证收集和情报收集，Proofpoint指出，邮件活动中的目标“比平时更广泛”，涵盖了政府、智库、高等教育、金融和法律实体。

这反过来又引发了威胁行为者利用DarkSword新能力作为对更广泛目标的机会主义行动的一部分。

Proofpoint的威胁研究员Greg Lesnewisch告诉《黑客新闻》，这次攻击很可能利用了DarkSword的泄露版本，该版本直接从UNC6353的一个水源中获取并上传到GitHub，并且“TA446使用的是UNC6353之前使用的同一版本的漏洞工具包。”目前尚不清楚这些攻击是否成功。然而，Proofpoint表示，所有针对其客户的消息都被屏蔽了。

此举正值苹果开始向运行旧版iOS和iPad的iPhone和iPad发送锁屏通知，提醒用户网络攻击并敦促他们安装更新以阻挡威胁。这一不同寻常的举措表明，苹果已将其视为足够广泛的威胁，需要用户立即关注。

苹果的警告也与GitHub上新版本DarkSword泄露同时发生，引发了人们对其可能民主化国家级漏洞利用的担忧，从而从根本上改变移动威胁格局。

Lookout首席研究员贾斯汀·阿尔布雷希特表示，泄露的即插即用版本甚至允许不熟练的威胁行为者部署先进的iOS间谍工具包，将其变成商品恶意软件。

“DarkSword驳斥了普遍认为iPhone免疫网络威胁，高级移动攻击仅用于针对政府和高级官员的定点行动，”Albrecht补充道。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HackSee安全生活 HackSee安全团队 HackSee安全团队《TA446 在针对性鱼叉式网络钓鱼活动中部署 DarkSword iOS 漏洞套件》