La vulnerabilità di iMessage di Apple sfruttata dal spyware Paragon per colpire i giornalisti

Una vulnerabilità zero-click recentemente divulgata nella piattaforma iMessage di Apple è stata sfruttata per spiare i giornalisti in Europa utilizzando spyware di alta gamma costruito dalla società israeliana Paragon Solutions.

Due giornalisti colpiti

Citizen Lab, un osservatorio sui diritti digitali dell’Università di Toronto, ha confermato prove forensi che almeno due giornalisti—Ciro Pellegrino della pubblicazione italiana Fanpage.it e un “giornalista europeo di spicco” anonimo—hanno avuto i loro iPhone con iOS 18.2.1 infettati dallo spyware Graphite di Paragon all’inizio del 2025.

“Analisi forensi hanno concluso che uno dei dispositivi del giornalista è stato compromesso con lo spyware Graphite di Paragon a gennaio e all’inizio di febbraio 2025 mentre eseguiva iOS 18.2.1,” si legge nel rapporto pubblicato da Citizen Labs giovedì.

“Attribuiamo la compromissione a Graphite con alta fiducia perché i log sul dispositivo indicavano che aveva effettuato una serie di richieste a un server che, durante lo stesso periodo, corrispondeva al nostro Fingerprint P1 pubblicato.”

Lo stesso account iMessage identificato in attacchi precedenti è stato trovato nei log del dispositivo di Pellegrino, “che associamo a un tentativo di infezione zero-click di Graphite.”

Poiché i fornitori di spyware mercenari di solito assegnano infrastrutture dedicate a ciascun cliente, l’account “sarebbe utilizzato esclusivamente da un singolo cliente/operatori di Graphite, e concludiamo che questo cliente ha preso di mira entrambi gli individui,” ha aggiunto il rapporto.

Apple ha notificato entrambe le vittime il 29 aprile 2025, insieme a selezionati utenti iOS, avvertendoli che i loro dispositivi erano stati colpiti da “spyware avanzato.” La vulnerabilità zero-day di iMessage ora corretta—CVE-2025-43200—ha permesso allo spyware di infettare gli iPhone senza alcuna interazione da parte dell’utente.

Cos’è Graphite?

Graphite è uno strumento di sorveglianza avanzato costruito da Paragon Solutions, una società israeliana di cyber-intelligence con legami con l’ex Primo Ministro israeliano Ehud Barak. Lo strumento consente ai clienti governativi di accedere da remoto al dispositivo di un obiettivo, recuperando dati come messaggi, email, foto, dati di posizione e persino accesso in tempo reale al microfono o alla fotocamera.

Come ha funzionato l’attacco **

L’attaccante ha utilizzato un account iMessage generico, etichettato ‘ATTACKER1’ nei documenti di ricerca, per inviare messaggi appositamente creati sfruttando un l oica difetto nel modo in cui iOS elaborava foto o video malevoli condivisi tramite un link iCloud. L’exploit ha colpito i dispositivi che eseguivano iOS 18.2.1 e versioni precedenti.

L’attacco è quello che è noto come un exploit zero-click—non richiedeva alcuna azione da parte della vittima—nessun clic, nessun download—lasciando praticamente nessuna traccia visibile sul telefono. Una volta attivato, lo spyware si è connesso a un server di comando e controllo all’indirizzo https://46.183.184[.]91, un VPS collegato all’infrastruttura di Paragon, e ha segretamente accesso a messaggi, email, foto, posizione, microfono, fotocamera e altro.

Apple ha affrontato silenziosamente il problema il 10 febbraio 2025, come parte di iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 e visionOS 2.3.1. Tuttavia, l’uso di questo exploit zero-day è stato rivelato pubblicamente solo a giugno dopo l’indagine di Citizen Lab.

Nel suo avviso ora aggiornato, il produttore di iPhone descrive il difetto come “un problema logico esistente durante l’elaborazione di una foto o video malevolo condiviso tramite un link iCloud,” notando che la vulnerabilità è stata risolta attraverso una convalida degli input migliorata.

L’azienda ha anche riconosciuto rapporti secondo cui è a conoscenza che la vulnerabilità “potrebbe essere stata sfruttata in un attacco estremamente sofisticato contro individui specificamente mirati.”

Giornalisti europei in pericolo a causa della crisi spyware

Al momento in cui Citizen Lab ha pubblicato il loro rapporto, tre giornalisti europei erano stati confermati come obiettivi dello spyware Graphite di Paragon—due attraverso prove forensi e uno tramite la notifica di Meta. Un caso è legato all’outlet italiano Fanpage.it, sollevando domande urgenti su chi sia dietro gli attacchi e se esista qualche giustificazione legale.

“La mancanza di responsabilità disponibile per questi obiettivi di spyware evidenzia l’estensione a cui i giornalisti in Europa continuano a essere soggetti a questa minaccia digitale altamente invasiva e sottolinea i pericoli della proliferazione e dell’abuso degli spyware,” ha concluso il rapporto.