Apples iMessage-Schwachstelle von Paragon-Spyware ausgenutzt, um Journalisten ins Visier zu nehmen

Eine neu offengelegte Zero-Click-Schwachstelle in Apples iMessage-Plattform wurde ausgenutzt, um Journalisten in Europa mit hochentwickelter Spyware des israelischen Unternehmens Paragon Solutions auszuspionieren.

Zwei Journalisten im Visier

Citizen Lab, eine digitale Rechteüberwachungsstelle an der Universität Toronto, bestätigte forensische Beweise, dass mindestens zwei Journalisten—Ciro Pellegrino von der italienischen Publikation Fanpage.it und ein anonymer „prominenter europäischer Journalist“—ihre iPhones mit iOS 18.2.1 Anfang 2025 mit Paragons Graphite-Spyware infiziert hatten.

„Unsere forensische Analyse ergab, dass eines der Geräte des Journalisten im Januar und Anfang Februar 2025 mit Paragons Graphite-Spyware kompromittiert wurde, während es iOS 18.2.1 ausführte“, heißt es in dem am Donnerstag veröffentlichten Bericht von Citizen Labs.

„Wir führen den Kompromiss mit hoher Zuversicht auf Graphite zurück, da Protokolle auf dem Gerät darauf hinwiesen, dass es eine Reihe von Anfragen an einen Server stellte, der während desselben Zeitraums mit unserem veröffentlichten Fingerabdruck P1 übereinstimmte.“

Dasselbe iMessage-Konto, das in früheren Angriffen identifiziert wurde, wurde in den Protokollen von Pellegrinos Gerät gefunden, „was wir mit einem Graphite-Zero-Click-Infektionsversuch in Verbindung bringen.“

Da Söldner-Spyware-Anbieter in der Regel jeder Kundeninfrastruktur zuweisen, „würde das Konto ausschließlich von einem einzigen Graphite-Kunden/Betreiber verwendet, und wir schließen daraus, dass dieser Kunde beide Personen ins Visier nahm“, fügte der Bericht hinzu.

Apple benachrichtigte beide Opfer am 29. April 2025 zusammen mit ausgewählten iOS-Nutzern und warnte sie, dass ihre Geräte von „fortschrittlicher Spyware“ ins Visier genommen wurden. Die mittlerweile gepatchte Zero-Day-iMessage-Schwachstelle—CVE-2025-43200—ermöglichte es der Spyware, iPhones ohne Benutzerinteraktion zu infizieren.

Was ist Graphite?

Graphite ist ein fortschrittliches Überwachungstool, das von Paragon Solutions, einer israelischen Cyber-Intelligence-Firma mit Verbindungen zum ehemaligen israelischen Premierminister Ehud Barak, entwickelt wurde. Das Tool ermöglicht es Regierungsbehörden, aus der Ferne auf das Gerät eines Ziels zuzugreifen und Daten wie Nachrichten, E-Mails, Fotos, Standortdaten und sogar Echtzeitzugriff auf das Mikrofon oder die Kamera abzurufen.

Wie der Angriff funktionierte

Der Angreifer verwendete ein generisches iMessage-Konto, das in den Forschungsdokumenten als „ATTACKER1“ bezeichnet wird, um speziell gestaltete Nachrichten zu übermitteln, die eine l ogische Schwachstelle in der Art und Weise ausnutzten, wie iOS bösartig gestaltete Fotos oder Videos verarbeitete, die über einen iCloud-Link geteilt wurden. Der Exploit betraf Geräte, die iOS 18.2.1 und früher ausführten.

Der Angriff war ein sogenannter Zero-Click-Exploit—er erforderte keine Aktion des Opfers—keine Klicks, keine Downloads—und hinterließ praktisch keine sichtbaren Spuren auf dem Telefon. Sobald die Spyware aktiviert war, stellte sie eine Verbindung zu einem Command-and-Control-Server unter https://46.183.184[.]91 her, einem VPS, der mit Paragons Infrastruktur verbunden ist, und griff heimlich auf Nachrichten, E-Mails, Fotos, Standort, Mikrofon, Kamera und mehr zu.

Apple sprach das Problem am 10. Februar 2025 stillschweigend im Rahmen von iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 und visionOS 2.3.1 an. Die Verwendung dieses Zero-Day-Exploits wurde jedoch erst im Juni nach der Untersuchung von Citizen Lab öffentlich bekannt.

In seiner nun aktualisierten Mitteilung beschreibt der iPhone-Hersteller die Schwachstelle als „ein logisches Problem, das beim Verarbeiten eines bösartig gestalteten Fotos oder Videos, das über einen iCloud-Link geteilt wurde, auftrat“, und stellt fest, dass die Schwachstelle durch verbesserte Eingangsvalidierung behoben wurde.

Das Unternehmen erkannte auch Berichte an, dass es sich bewusst ist, dass die Schwachstelle „möglicherweise in einem äußerst ausgeklügelten Angriff gegen gezielt angegriffene Personen ausgenutzt wurde.“

Europäische Journalisten in Gefahr durch Spyware-Krise

Als Citizen Lab ihren Bericht veröffentlichte, waren drei europäische Journalisten als Ziele von Paragons Graphite-Spyware bestätigt worden—zwei durch forensische Beweise und einer über die Benachrichtigung von Meta. Ein Fall ist mit dem italienischen Outlet Fanpage.it verbunden, was dringende Fragen aufwirft, wer hinter den Angriffen steckt und ob es eine rechtliche Rechtfertigung gibt.

„Das Fehlen von Rechenschaftspflicht für diese Spyware-Ziele hebt hervor, in welchem Maße Journalisten in Europa weiterhin dieser hochgradig invasiven digitalen Bedrohung ausgesetzt sind, und unterstreicht die Gefahren der Verbreitung und des Missbrauchs von Spyware“, schloss der Bericht.