Una investigación forense ha confirmado el uso de la plataforma de spyware Graphite de Paragon en ataques de Zero-Click dirigidos a los dispositivos Apple iOS de al menos dos periodistas en Europa.
Investigadores de Citizen Lab afirman que las víctimas fueron un destacado periodista europeo que solicitó el anonimato y Ciro Pellegrino, periodista de la publicación italiana Fanpage.
"Nuestro análisis encuentra evidencia forense que confirma con alta certeza que tanto un destacado periodista europeo (que solicita el anonimato) como el periodista italiano Ciro Pellegrino fueron blanco del spyware mercenario Graphite de Paragon", informa Citizen Lab.
Los ataques ocurrieron a principios de 2025, y Apple envió una notificación a las dos víctimas el 29 de abril informándoles que habían sido blanco de "spyware avanzado".
El actor de amenazas utilizó la plataforma de spyware Graphite de Paragon para atacar los dispositivos iPhone de las víctimas con iOS 18.2.1 y explotar la vulnerabilidad CVE-2025-43200, que en ese momento era una vulnerabilidad Zero-Day. Apple describe la falla como "un problema lógico que existía al procesar una foto o un vídeo creado con fines maliciosos y compartido a través de un enlace de iCloud".
El proveedor solucionó la vulnerabilidad en la próxima versión de iOS, la 18.3.1, el 10 de febrero, añadiendo comprobaciones mejoradas.
Según el análisis de Citizen Lab, el vector de entrega de Graphite era iMessage. El atacante utilizó una cuenta, denominada genéricamente como 'ATTACKER1' en la investigación, para enviar mensajes especialmente diseñados que explotaban CVE-2025-43200 para la ejecución remota de código.
Esto logró la entrega del spyware sin ninguna interacción del objetivo, en lo que se denomina un ataque de Zero-Click, y sin producir ninguna señal visible que alertara a la víctima.
Una vez activo, el spyware contacta con un servidor de comando y control (C2) para recibir más instrucciones. En el caso confirmado por Citizen Lab, el teléfono infectado se conectó a https://46.183.184[.]91, un VPS vinculado a la infraestructura de Paragon. Esta dirección IP estaba alojada en EDIS Global y estuvo activa al menos hasta el 12 de abril. Aunque se dejó poco rastro en los dispositivos, Citizen Lab logró recuperar algunos registros con evidencia suficiente para atribuir los ataques al software espía Graphite de Paragon con gran certeza.
La misma familia de software espía fue descubierta a principios de este año en otro ataque sin clic que explotaba una vulnerabilidad de día cero en WhatsApp y que tenía como objetivo a otras víctimas italianas.
Las autoridades italianas confirmaron a principios de este mes múltiples ataques contra personas en el país, entre ellas el periodista Francesco Cancellato y los activistas Luca Casarini y el Dr. Giuseppe "Beppe" Caccia. Sin embargo, por el momento, se desconoce la identidad de los responsables de dichos ataques.
Fuente: CitizenLab | BC