A investigação forense confirmou o uso da plataforma de spyware Graphite da Paragon em ataques zero-click que visaram dispositivos Apple iOS de pelo menos dois jornalistas na Europa.
Pesquisadores do Citizen Lab informam que as vítimas foram jornalistas europeus proeminentes que solicitaram anonimato e Ciro Pellegrino, um jornalista da publicação italiana Fanpage.it.
"Nossa análise encontra evidências forenses confirmando com alta confiança que tanto um jornalista europeu proeminente (que solicita anonimato), quanto o jornalista italiano Ciro Pellegrino, foram alvos do spyware mercenário Graphite da Paragon", reporta o Citizen Lab.
Os ataques ocorreram no início de 2025, e a Apple enviou uma notificação para as duas vítimas em 29 de abril informando que haviam sido alvos de "spyware avançado".
O agente de ameaças usou a plataforma de spyware Graphite da Paragon para visar os dispositivos iPhone das vítimas rodando iOS 18.2.1 e explorar a CVE-2025-43200, que era uma vulnerabilidade zero-day na época.
A Apple descreve a falha como "um problema de lógica que existia ao processar uma foto ou vídeo maliciosamente elaborado compartilhado via um Link do iCloud".
O fornecedor abordou a vulnerabilidade na próxima versão do iOS, 18.3.1, em 10 de fevereiro, adicionando verificações aprimoradas.
No entanto, o identificador CVE foi adicionado hoje mais cedo ao boletim de segurança.
De acordo com a análise do Citizen Lab, o vetor de entrega do Graphite foi o iMessage.
O atacante usou uma conta, genericamente rotulada como 'ATTACKER1' na pesquisa, para enviar mensagens especialmente elaboradas que exploravam a CVE-2025-43200 para execução remota de código.
Isso alcançou a entrega do spyware sem qualquer interação do alvo, no que é chamado um ataque zero-click, e sem produzir sinais visíveis para alertar a vítima.
Uma vez ativo, o spyware contata um servidor de comando e controle (C2) para receber instruções adicionais.
No caso confirmado pelo Citizen Lab, o telefone infectado conectou-se a https://46.183.184[.]91, um VPS ligado à infraestrutura da Paragon.
Este endereço de IP foi hospedado na EDIS Global e estava ativo pelo menos até 12 de abril.
Embora poucos rastros tenham sido deixados nos dispositivos, o Citizen Lab conseguiu recuperar alguns logs que continham evidências suficientes para atribuir os ataques ao spyware Graphite da Paragon com alta confiança.
A mesma família de spyware foi "flagrada" mais cedo neste ano em outro ataque zero-click explorando uma vulnerabilidade zero-day no WhatsApp que visou outras vítimas italianas.
Autoridades italianas confirmaram no início deste mês múltiplos ataques contra indivíduos no país, incluindo o jornalista Francesco Cancellato e os ativistas Luca Casarini e Dr. Giuseppe “Beppe” Caccia.
No entanto, as partes responsáveis por esses ataques não são conhecidas publicamente no momento.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...