A investigação forense confirmou o uso da plataforma de spyware Graphite da Paragon em ataques zero-click que visaram dispositivos Apple iOS de pelo menos dois jornalistas na Europa.
Pesquisadores do Citizen Lab informam que as vítimas foram jornalistas europeus proeminentes que solicitaram anonimato e Ciro Pellegrino, um jornalista da publicação italiana Fanpage.it.
"Nossa análise encontra evidências forenses confirmando com alta confiança que tanto um jornalista europeu proeminente (que solicita anonimato), quanto o jornalista italiano Ciro Pellegrino, foram alvos do spyware mercenário Graphite da Paragon", reporta o Citizen Lab.
Os ataques ocorreram no início de 2025, e a Apple enviou uma notificação para as duas vítimas em 29 de abril informando que haviam sido alvos de "spyware avançado".
O agente de ameaças usou a plataforma de spyware Graphite da Paragon para visar os dispositivos iPhone das vítimas rodando iOS 18.2.1 e explorar a CVE-2025-43200, que era uma vulnerabilidade zero-day na época.
A Apple descreve a falha como "um problema de lógica que existia ao processar uma foto ou vídeo maliciosamente elaborado compartilhado via um Link do iCloud".
O fornecedor abordou a vulnerabilidade na próxima versão do iOS, 18.3.1, em 10 de fevereiro, adicionando verificações aprimoradas.
No entanto, o identificador CVE foi adicionado hoje mais cedo ao boletim de segurança.
De acordo com a análise do Citizen Lab, o vetor de entrega do Graphite foi o iMessage.
O atacante usou uma conta, genericamente rotulada como 'ATTACKER1' na pesquisa, para enviar mensagens especialmente elaboradas que exploravam a CVE-2025-43200 para execução remota de código.
Isso alcançou a entrega do spyware sem qualquer interação do alvo, no que é chamado um ataque zero-click, e sem produzir sinais visíveis para alertar a vítima.
Uma vez ativo, o spyware contata um servidor de comando e controle (C2) para receber instruções adicionais.
No caso confirmado pelo Citizen Lab, o telefone infectado conectou-se a https://46.183.184[.]91, um VPS ligado à infraestrutura da Paragon.
Este endereço de IP foi hospedado na EDIS Global e estava ativo pelo menos até 12 de abril.
Embora poucos rastros tenham sido deixados nos dispositivos, o Citizen Lab conseguiu recuperar alguns logs que continham evidências suficientes para atribuir os ataques ao spyware Graphite da Paragon com alta confiança.
A mesma família de spyware foi "flagrada" mais cedo neste ano em outro ataque zero-click explorando uma vulnerabilidade zero-day no WhatsApp que visou outras vítimas italianas.
Autoridades italianas confirmaram no início deste mês múltiplos ataques contra indivíduos no país, incluindo o jornalista Francesco Cancellato e os ativistas Luca Casarini e Dr. Giuseppe “Beppe” Caccia.
No entanto, as partes responsáveis por esses ataques não são conhecidas publicamente no momento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...