Falha do iMessage da Apple Explorada pelo Spyware Paragon para Alvo de Jornalistas

Uma vulnerabilidade recém-divulgada de zero cliques na plataforma iMessage da Apple foi explorada para espionar jornalistas na Europa usando spyware de alto nível desenvolvido pela empresa israelense Paragon Solutions.

Dois Jornalistas Alvo

O Citizen Lab, um watchdog de direitos digitais da Universidade de Toronto, confirmou evidências forenses de que pelo menos dois jornalistas—Ciro Pellegrino da publicação italiana Fanpage.it, e um “jornalista europeu proeminente” anônimo—tiveram seus iPhones rodando iOS 18.2.1 infectados com o spyware Graphite da Paragon no início de 2025.

“Nossa análise forense concluiu que um dos dispositivos do jornalista foi comprometido com o spyware Graphite da Paragon em janeiro e início de fevereiro de 2025 enquanto rodava iOS 18.2.1,” diz o relatório publicado pelo Citizen Labs na quinta-feira.

“Atribuímos a violação ao Graphite com alta confiança porque os logs no dispositivo indicaram que ele fez uma série de solicitações a um servidor que, durante o mesmo período, correspondia ao nosso Fingerprint P1 publicado.”

A mesma conta do iMessage identificada em ataques anteriores foi encontrada nos logs do dispositivo de Pellegrino, “o que associamos a uma tentativa de infecção de zero cliques do Graphite.”

Como os fornecedores de spyware mercenários normalmente atribuem infraestrutura dedicada a cada cliente, a conta “seria usada exclusivamente por um único cliente/operator Graphite, e concluímos que este cliente visou ambos os indivíduos,” acrescentou o relatório.

A Apple notificou ambas as vítimas em 29 de abril de 2025, junto com usuários selecionados do iOS, alertando-os de que seus dispositivos haviam sido alvo de “spyware avançado.” A vulnerabilidade de zero dia do iMessage agora corrigida—CVE-2025-43200—permitiu que o spyware infectasse iPhones sem qualquer interação do usuário.

O Que É Graphite?

Graphite é uma ferramenta de vigilância avançada construída pela Paragon Solutions, uma empresa israelense de ciberinteligência com laços com o ex-primeiro-ministro israelense Ehud Barak. A ferramenta permite que clientes governamentais acessem remotamente o dispositivo de um alvo, recuperando dados como mensagens, e-mails, fotos, dados de localização e até acesso em tempo real ao microfone ou câmera.

Como O Ataque Funcionou **

O atacante usou uma conta genérica do iMessage, rotulada como ‘ATTACKER1’ em documentos de pesquisa, para entregar mensagens especialmente elaboradas que exploravam uma falha de l ogica em como o iOS processava fotos ou vídeos maliciosamente elaborados compartilhados via um Link do iCloud. A exploração afetou dispositivos rodando iOS 18.2.1 e anteriores.

O ataque foi o que é conhecido como uma exploração de zero cliques—não exigiu nenhuma ação da vítima—sem cliques, sem downloads—deixando virtualmente nenhuma pista visível no telefone. Uma vez ativado, o spyware se conectou a um servidor de comando e controle em https://46.183.184[.]91, um VPS vinculado à infraestrutura da Paragon, e acessou secretamente mensagens, e-mails, fotos, localização, microfone, câmera e mais.

A Apple abordou discretamente o problema em 10 de fevereiro de 2025, como parte do iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1, e visionOS 2.3.1. No entanto, o uso dessa exploração de zero dia foi revelado publicamente apenas em junho após a investigação do Citizen Lab.

Em seu aviso agora atualizado, o fabricante do iPhone descreve a falha como “um problema lógico que existia ao processar uma foto ou vídeo maliciosamente elaborado compartilhado via um Link do iCloud,” observando que a vulnerabilidade foi resolvida através de validação de entrada aprimorada.

A empresa também reconheceu relatos de que está ciente de que a vulnerabilidade “pode ter sido explorada em um ataque extremamente sofisticado contra indivíduos especificamente visados.”

Jornalistas Europeus em Perigo Devido à Crise de Spyware

No momento em que o Citizen Lab publicou seu relatório, três jornalistas europeus foram confirmados como alvos do spyware Graphite da Paragon—dois através de evidências forenses e um via notificação da Meta. Um caso está ligado ao veículo italiano Fanpage.it, levantando questões urgentes sobre quem está por trás dos ataques e se existe alguma justificativa legal.

“A falta de responsabilidade disponível para esses alvos de spyware destaca a extensão em que jornalistas na Europa continuam a ser submetidos a essa ameaça digital altamente invasiva, e sublinha os perigos da proliferação e abuso de spyware,” concluiu o relatório.