A Google Threat Intelligence Group elemzése alapján a DarkSword egy több lépcsőből álló, teljes iOS kompromittálást lehetővé tevő exploitlánc, amelyet 2025 novembere óta több, egymástól különálló fenyegető szereplő is használt célzott műveletekben. A kutatások szerint a kampányok földrajzilag is elkülönülő célpontokat érintettek. A megfigyelt aktivitás alapján a DarkSword nem egyetlen incidenshez köthető technikai megoldás, hanem olyan, több környezetben is alkalmazott támadási képesség, amely fejlett iOS exploitok operatív újrafelhasználását jelzi.
A fertőzési lánc kiindulópontja kompromittált vagy támadói infrastruktúrán hosztolt weboldal, vagyis a támadók watering hole jellegű terjesztési modellt alkalmaztak. A Google az egyik dokumentált esetben Snapchat tematikájú oldalt azonosított, amely egy új iframe megnyitását követően betöltötte az rce_loader.js komponenst. Ez a loader a készüléken futó iOS verzió függvényében további exploitmodulokat hívott meg, és ennek megfelelően választotta ki a végrehajtandó támadási útvonalat. A kampány során több, egymást követő verziótámogatás is megjelent, ami arra utal, hogy a készítői a láncot folyamatosan karbantartották és a build-ekhez igazították.
A lánc első szakaszában a támadók Safari/WebKit környezetben értek el távoli kódfuttatást. A GTIG szerint ehhez legalább két JavaScriptCore memóriakorrupciós sérülékenységet használták fel és ezt egészítették ki egy PAC-bypass technikával. A következő szakaszban a lánc a sandbox környezetből történő kitörést valósította meg. A Google leírása szerint a DarkSword egy ANGLE komponensben található hibát használt arra, hogy a WebContent folyamatból továbblépjen a GPU folyamat irányába, majd ezt követően egy XNU copy-on-write típusú sérülékenység segítségével szerzett további végrehajtási lehetőséget. A kompromittálási lánc utolsó eleme egy kernel szintű privilégiumkiterjesztés volt, amely után a támadók már kernel read/write jogosultsággal rendelkeztek. A lánc felépítése ezért klasszikus full-chain modellként írható le: böngészőszintű távoli kódfuttatás, sandbox escape, majd local privilege escalation a teljes eszközkompromittálásig.
A kompromittálást követően a támadók több, eltérő funkciójú komponenst telepítettek. A GTIG három malware családot azonosított, a GHOSTBLADE, a GHOSTKNIFE és a GHOSTSABER payloadokat. A GHOSTBLADE elsődlegesen adatgyűjtésre szolgált, és a fertőzött eszközről kommunikációs, felhasználói, rendszer és egyéb érzékeny adatokat gyűjtött össze. A GHOSTKNIFE és a GHOSTSABER ezzel szemben inkább a kompromittált eszköz feletti megfigyelési és távoli vezérlési kontrollt támogatták. A kutatók szerint ezek a komponensek titkosított kommunikációt alkalmaztak, valamint bizonyos logokat is eltávolítottak, ami az észlelhetőség csökkentésére irányuló tudatos működésre utal.
A Google értékelése alapján a lánc kereskedelmi megfigyelőiparhoz köthető műveletekben is megjelent. A DarkSword szempontjából a sérülékeny tartományként elsősorban az iOS 18.4 – 18.6.2 verziók jelölhetők meg, míg a javított állapot az iOS 26.3-as. A kapcsolódó sérülékenységek javítása nem egyetlen frissítésben, hanem több egymást követő Apple kiadásban történt meg.