Una vulnerabilidad de clic cero recientemente revelada en la plataforma iMessage de Apple fue explotada para espiar a periodistas en Europa utilizando spyware de alta gama construido por la compañía israelí Paragon Solutions.
Dos periodistas atacados
Citizen Lab, un regulador de derechos digitales en la Universidad de Toronto, confirmó la evidencia forense de que al menos dos periodistas, Ciro Pellegrino de la publicación italiana FanPage.it, y un «periodista europeo prominente» anónimo, habían hecho sus iPhones que ejecutaban iOS 18.2.1 infectados con elware de espía de Graphite Paragon a principios de 2025.
«Nuestro análisis forense concluyó que uno de los dispositivos de los periodistas se vio comprometido con el spyware de grafito de Paragon en enero y principios de febrero de 2025 mientras ejecutaba iOS 18.2.1», se lee en el informe Publicado por Citizen Labs el jueves.
«Atribuimos el compromiso al grafito con alta confianza porque los registros en el dispositivo indicaron que realizó una serie de solicitudes a un servidor que, durante el mismo período de tiempo, coincidieron con nuestras publicado Huella digital P1 «.
La misma cuenta de iMessage identificada en ataques anteriores se encontró en los registros de dispositivos de Pellegrino, «que asociamos con un intento de infección de clic cero de grafito».
Dado que los proveedores de spyware mercenario generalmente asignan infraestructura dedicada a cada cliente, la cuenta «sería utilizada exclusivamente por un solo cliente/operador de grafito, y concluimos que este cliente se dirigió a ambos individuos», agregó el informe.
Apple notificó a las víctimas el 29 de abril de 2025, junto con los usuarios seleccionados de iOS, advirtiéndoles que sus dispositivos habían sido atacados por «Spyware Avanzado». La vulnerabilidad de iMessage de día cero ahora parchada, CVE-2025-43200, permitió que el spyware infectara iPhones sin ninguna interacción del usuario.
¿Qué es el grafito?
Graphite es una herramienta de vigilancia avanzada construida por Paragon Solutions, una firma israelí de inteligencia cibernética con vínculos con el ex primer ministro israelí, Ehud Barak. La herramienta permite a los clientes gubernamentales acceder de forma remota al dispositivo de un objetivo de forma remota, recuperando datos como mensajes, correos electrónicos, fotos, datos de ubicación e incluso acceso en tiempo real al micrófono o cámara.
Cómo funcionó el ataque
El atacante utilizó una cuenta genérica de iMessage, etiquetada como 'atacante1' en documentos de investigación, para entregar mensajes especialmente diseñados que explotan un ldefecto ogic en cómo iOS procesó fotos o videos de forma maliciosa compartida a través de un enlace iCloud. La exploit afectó los dispositivos que ejecutan iOS 18.2.1 y anteriores.
El ataque fue lo que se conoce como un exploit de clic cero, no requirió ninguna acción de la víctima, sin clics, sin descargas, sin dejar prácticamente ningún rastro visible en el teléfono. Una vez que se activó el spyware, se conectó a un servidor de comando y control https: //46.183.184 (.) 91un VPS vinculado a la infraestructura de Paragon y accedió en secreto mensajes, correos electrónicos, fotos, ubicación, micrófono, cámara y más.
Apple abordó en silencio el problema el 10 de febrero de 2025, como parte de iOS 18.3.1, iPados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, MacOS Sonoma 14.7.4, MacOS Ventura 13.7.4, Watchos 11.3.1y Visionos 2.3.1. Sin embargo, el uso de esta exploit de día cero solo se reveló públicamente en junio después de la investigación de Citizen Lab.
En su aviso ahora actualizadoel fabricante de iPhone describe el defecto como «un problema lógico existía al procesar una foto o video de forma maliciosa compartida a través de un enlace iCloud», señalando que la vulnerabilidad se resolvió mediante una validación de entrada mejorada.
La compañía también reconoció informes de que es consciente de que la vulnerabilidad «puede haber sido explotada en un ataque extremadamente sofisticado contra individuos específicamente dirigidos».
Also read: ¿Te falla el teclado del iPhone? ¡Descubre estas soluciones y resuélvelo!
Periodistas europeos en peligro debido a la crisis de spyware
En ese momento, Citizen Lab publicó su informe, tres periodistas europeos habían sido confirmados como objetivos del spyware de grafito de Paragon, dos a través de evidencia forense y uno a través de la notificación de Meta. Un caso está vinculado a la FanPage de la salida italiana, planteando preguntas urgentes sobre quién está detrás de los ataques y si existe alguna justificación legal.
«La falta de responsabilidad disponible para estos objetivos de spyware resalta la medida en que los periodistas en Europa continúan siendo sometidos a esta amenaza digital altamente invasiva y subraya los peligros de la proliferación y el abuso de los spyware», concluyó el informe.