Underc0de

Una investigación forense reciente ha confirmado el uso del software espía Graphite, desarrollado por Paragon, en ataques de clic cero dirigidos a dispositivos iOS de Apple. Las víctimas incluyen al menos a dos periodistas en Europa, uno de ellos identificado como Ciro Pellegrino, de la publicación italiana Fanpage.it, y otro que ha solicitado permanecer en el anonimato.

Según el informe de Citizen Lab, se identificó evidencia forense concluyente que vincula estos ataques con la plataforma mercenaria de vigilancia digital Graphite, utilizada para comprometer los dispositivos de las víctimas sin requerir interacción del usuario, una técnica conocida como ataque de clic cero.

Exploit de día cero en iOS 18.2.1

Los ataques ocurrieron a principios de 2025, y el 29 de abril Apple notificó a los afectados que habían sido blanco de un "spyware avanzado". El grupo atacante explotó una vulnerabilidad de día cero, catalogada como CVE-2025-43200, presente en iOS 18.2.1.

Apple describió esta falla como un problema de lógica al procesar imágenes o videos maliciosos enviados mediante enlaces de iCloud. Esta vulnerabilidad fue corregida en iOS 18.3.1, lanzado el 10 de febrero de 2025, mediante la implementación de comprobaciones de seguridad mejoradas. Sin embargo, el identificador CVE se incorporó oficialmente al boletín de seguridad de Apple semanas más tarde.

Vector de ataque: iMessage y servidor C2 de Paragon

El análisis de Citizen Lab reveló que el vector de entrega del spyware fue iMessage, mediante una cuenta etiquetada como "ATTACKER1", utilizada para enviar mensajes manipulados que explotaban la vulnerabilidad CVE-2025-43200 y permitían la ejecución remota de código (RCE) sin que la víctima tuviera que interactuar con el mensaje.

Una vez comprometido el dispositivo, el spyware se comunicaba con un servidor de comando y control (C2) alojado en la dirección IP https://46.183.184[.]91, identificada como parte de la infraestructura de Paragon y operativa al menos hasta el 12 de abril. Esta IP estaba alojada por EDIS Global, un proveedor de servicios VPS.

Atribución y casos relacionados

Aunque el software espía Graphite está diseñado para operar de forma sigilosa, Citizen Lab logró recuperar registros forenses suficientes para atribuir con alta confianza estos ataques a la plataforma desarrollada por Paragon. Este no es un caso aislado: la misma familia de spyware estuvo implicada a inicios de año en otro ataque de clic cero contra usuarios de WhatsApp en Italia.


Las autoridades italianas confirmaron recientemente múltiples ataques dirigidos a periodistas y activistas, incluyendo a Francesco Cancellato, Luca Casarini y el Dr. Giuseppe "Beppe" Caccia. Aunque el modus operandi es similar, las identidades de los responsables de esos ataques aún no han sido reveladas públicamente.

Fuente: https://www.bleepingcomputer.com/