Una investigación forense ha confirmado el uso de la plataforma de spyware Graphite de Paragon en ataques de Zero-Click dirigidos a los
dispositivos Apple iOS de al menos dos periodistas en Europa.
Investigadores de Citizen Lab afirman
que las víctimas fueron un destacado periodista europeo que solicitó el
anonimato y Ciro Pellegrino, periodista de la publicación italiana Fanpage.
«Nuestro análisis encuentra evidencia forense que confirma con alta certeza
que tanto un destacado periodista europeo (que solicita el anonimato) como
el periodista italiano Ciro Pellegrino fueron blanco del spyware mercenario
Graphite de Paragon», informa Citizen Lab.
Los ataques ocurrieron a principios de 2025, y Apple envió una notificación a
las dos víctimas el 29 de abril informándoles que habían sido blanco de
«spyware avanzado».
El actor de amenazas utilizó la plataforma de spyware Graphite de Paragon para
atacar los dispositivos iPhone de las víctimas con iOS 18.2.1 y explotar la
vulnerabilidad
CVE-2025-43200, que en ese momento era una vulnerabilidad Zero-Day. Apple describe la falla
como
«un problema lógico que existía al procesar una foto o un vídeo creado con
fines maliciosos y compartido a través de un enlace de iCloud».
El proveedor
solucionó la vulnerabilidad
en la próxima versión de iOS, la 18.3.1, el 10 de febrero, añadiendo
comprobaciones mejoradas.
Según el análisis de Citizen Lab, el vector de entrega de Graphite era
iMessage. El atacante utilizó una cuenta, denominada genéricamente como
‘ATTACKER1’ en la investigación, para enviar mensajes especialmente
diseñados que explotaban CVE-2025-43200 para la ejecución remota de código.
Esto logró la entrega del spyware sin ninguna interacción del objetivo, en lo
que se denomina un ataque de Zero-Click, y sin producir ninguna señal
visible que alertara a la víctima.
Una vez activo, el spyware contacta con un servidor de comando y control (C2)
para recibir más instrucciones. En el caso confirmado por Citizen Lab, el
teléfono infectado se conectó a https://46.183.184[.]91, un VPS
vinculado a la infraestructura de Paragon. Esta dirección IP estaba alojada en
EDIS Global y estuvo activa al menos hasta el 12 de abril. Aunque se dejó poco
rastro en los dispositivos, Citizen Lab logró recuperar algunos registros con
evidencia suficiente para atribuir los ataques al software espía Graphite de
Paragon con gran certeza.
La misma familia de software espía fue descubierta a principios de este año en
otro ataque sin clic que
explotaba una vulnerabilidad de día cero en WhatsApp
y que tenía como objetivo a otras víctimas italianas.
Las autoridades italianas confirmaron a principios de este mes múltiples
ataques contra personas en el país, entre ellas
el periodista Francesco Cancellato
y los activistas Luca Casarini y el Dr. Giuseppe «Beppe» Caccia. Sin embargo,
por el momento, se desconoce la identidad de los responsables de dichos
ataques.
Fuente: CitizenLab | BC