Grafito atrapado: La primera confirmación forense del spyware de Paragon para iOS encuentra a periodistas como objetivo

Introducción

El 29 de abril de 2025, Apple notificó a un grupo selecto de usuarios de iOS que habían sido atacados con software espía avanzado. Entre ellos se encontraban dos periodistas que dieron su consentimiento para el análisis técnico de sus casos. Los hallazgos clave de nuestro análisis forense de sus dispositivos se resumen a continuación:

• Nuestro análisis encuentra evidencia forense que confirma con gran confianza que tanto un destacado periodista europeo (que solicita el anonimato) como el periodista italiano Ciro Pellegrino fueron blanco del software espía mercenario Graphite de Paragon.
• Identificamos un indicador que vincula ambos casos al mismo operador Paragon.
• Apple nos confirma que el ataque zero-click desplegado en estos casos fue mitigado a partir de iOS 18.3.1 y ha asignado la vulnerabilidad CVE-2025-43200.

Nuestro análisis está en curso.

Analizamos los dispositivos Apple de un destacado periodista europeo que solicitó el anonimato. El 29 de abril de 2025, este periodista recibió una notificación de Apple y solicitó asistencia técnica.

Nuestro análisis forense concluyó que uno de los dispositivos del periodista fue comprometido con el spyware Graphite de Paragon entre enero y principios de febrero de 2025 mientras ejecutaba iOS 18.2.1 . Atribuimos la vulneración a Graphite con alta certeza, ya que los registros del dispositivo indicaron que realizó una serie de solicitudes a un servidor que, durante el mismo período, coincidieron con nuestra huella digital P1 publicada . Vinculamos esta huella digital con el spyware Graphite de Paragon con alta certeza.

https://46.183.184[.]91/

Al parecer, el servidor se alquiló al proveedor de VPS EDIS Global . Permaneció en línea y siguió coincidiendo con la huella P1 hasta al menos el 12 de abril de 2025.

Identificamos una cuenta de iMessage presente en los registros del dispositivo aproximadamente al mismo tiempo que el teléfono se comunicaba con el servidor Paragon 46.183.184[.]91. Redactamos la cuenta y la llamamos ATTACKER1 . Basándonos en nuestro análisis forense, concluimos que esta cuenta se utilizó para implementar el spyware Graphite de Paragon mediante un sofisticado ataque de cero clics en iMessage. Creemos que esta infección no habría sido visible para el objetivo. Apple nos confirma que el ataque de cero clics implementado en este caso se mitigó a partir de iOS 18.3.1 y ha asignado la CVE-2025-43200 a esta vulnerabilidad de día cero.

Ciro Pellegrino es periodista y director de la redacción de Nápoles en Fanpage.it, donde ha informado sobre numerosos casos de alto perfil. El 29 de abril de 2025, el Sr. Pellegrino recibió una notificación de Apple y solicitó nuestra asistencia técnica.

Analizamos los artefactos del iPhone del Sr. Pellegrino y determinamos con alta certeza que fue atacado con el spyware Graphite de Paragon. Nuestro análisis de los registros del dispositivo reveló la presencia de la misma cuenta de iMessage ATTACKER1 utilizada para atacar al periodista del Caso 1 , la cual asociamos con un intento de infección sin clic de Graphite.

Es habitual que cada cliente de una empresa de software espía mercenario tenga su propia infraestructura dedicada. Por lo tanto, creemos que la cuenta ATTACKER1 sería utilizada exclusivamente por un único cliente/operador de Graphite, y concluimos que este cliente tenía como objetivo a ambos individuos.

Nuestros análisis forenses de estos ataques y de las capacidades iOS de Paragon están en curso.

En enero de 2025 , Francesco Cancellato, un colega cercano del Sr. Pellegrino y editor de Fanpage.it , recibió una notificación por WhatsApp de que había sido atacado con el software espía Graphite de Paragon.

El Citizen Lab ha estado realizando análisis forenses del dispositivo Android del Sr. Cancellato. Sin embargo, hasta nuestro informe inicial, no pudimos obtener confirmación forense de una infección exitosa del Android del Sr. Cancellato. Como explicamos en su momento: « Dada la naturaleza esporádica de los registros de Android, la ausencia de un hallazgo de BIGPRETZEL en un dispositivo en particular no significa que el teléfono no haya sido hackeado con éxito, simplemente que es posible que no se hayan capturado registros relevantes o que se hayan sobrescrito ».

Tras el caso del Sr. Cancellato, la identificación de un segundo periodista de Fanpage.it atacado por Paragon sugiere un esfuerzo por atacar a esta organización de noticias. Este parece ser un conjunto distinto de casos que justifica un mayor escrutinio.

El 5 de junio de 2025, el comité parlamentario del gobierno italiano que supervisa los servicios de inteligencia de Italia (COPASIR: Comitato Parlamentare per la Sicurezza della Repubblica) publicó el informe de su investigación sobre el caso Paragon en Italia.

El informe reconoció que el gobierno italiano había utilizado el software espía Graphite de Paragon contra Luca Casarini y el Dr. Giuseppe “Beppe” Caccia, las dos personas en las que se encontró evidencia forense de la presencia de Graphite (mediante el indicador BIGPRETZEL para Android). Sin embargo, el informe indicó que no se pudo determinar quién pudo haber atacado al Sr. Cancellato con Graphite.

El 9 de junio de 2025, Haaretz informó que Paragon se había ofrecido a ayudar al gobierno italiano en la investigación del caso del Sr. Cancellato, una oferta que, según afirman, fue rechazada por el gobierno italiano. Paragon también sugirió que había rescindido unilateralmente los contratos con Italia.

En respuesta más tarde ese mismo día, el Departamento de Inteligencia de Seguridad italiano (DIS: Dipartimento delle Informazioni per la Sicurezza), que coordina los servicios de inteligencia italianos, declaró que había rechazado la oferta de Paragon debido a preocupaciones de seguridad nacional por exponer sus actividades a Paragon. Afirmaron que proporcionar a Paragon dicho acceso afectaría la reputación de los servicios de seguridad italianos entre servicios similares de todo el mundo. Negaron que la rescisión del contrato fuera unilateral. Más tarde ese mismo día, el comité COPASIR declaró que habían decidido no proceder con la oferta de Paragon , sino que habían optado por consultar directamente las bases de datos de Paragon, al considerar que los enfoques eran equivalentes.

El comité también manifestó su voluntad de desclasificar el testimonio de Paragon ante el comité.

El 10 de junio de 2025, enviamos un resumen de nuestros últimos hallazgos a Paragon Solutions y les ofrecimos la oportunidad de responder, lo cual nos comprometimos a publicar íntegramente. Al momento de la publicación, no hemos recibido respuesta.

La continua crisis del software espía en Europa: periodistas en riesgo

Al momento de esta publicación, se ha confirmado que tres periodistas europeos son blanco del software espía mercenario Graphite de Paragon. Dos de estas confirmaciones tienen base forense, y la tercera se deriva de una notificación de Meta. Sin embargo, hasta la fecha, no se ha dado ninguna explicación sobre quién es responsable del espionaje a estos periodistas.

Además, la confirmación de un segundo caso vinculado a un medio de comunicación italiano específico ( Fanpage.it ) agrega urgencia a la cuestión de qué cliente de Paragon es responsable de esta persecución y en virtud de qué autoridad legal (si la hubiera) se llevó a cabo dicha persecución.

La falta de rendición de cuentas a las víctimas de estos programas espía pone de relieve hasta qué punto los periodistas en Europa siguen estando sometidos a esta amenaza digital altamente invasiva y subraya los peligros de la proliferación y el abuso de programas espía.

Nuestro análisis de la segmentación de Paragon en iOS y Android continúa. Agradecemos a Access Now su apoyo.

Si usted es periodista, defensor de derechos humanos u otro miembro de la sociedad civil y recibió una advertencia de software espía de Apple, Meta, WhatsApp, Google u otros, tómelo en serio y busque ayuda de un experto.

A continuación se muestra un ejemplo de una de esas notificaciones:

Organizaciones como Access Now y su Línea de Ayuda de Seguridad Digital pueden ayudarle a comprender el ataque y a tomar rápidamente las medidas necesarias para reforzar la seguridad de su dispositivo. Trabajamos con Access Now para garantizar que los casos reciban apoyo experto. Asimismo, el Laboratorio de Seguridad de Amnistía Internacional también mantiene un punto de contacto para recursos e investigaciones para los destinatarios de las notificaciones .

Dado que existen múltiples casos e informes de infección por Paragon, proporcionamos una tabla con un resumen de cada caso, junto con la evidencia correspondiente. Es importante destacar que usamos el término " Objetivo " para describir a un individuo seleccionado para la infección por un operador de Paragon, y reservamos " Infectado " para describir la confirmación forense de una infección exitosa. En muchos casos, es posible que no se disponga de los hallazgos forenses completos, incluso en casos donde es probable que se haya producido una infección, debido a las limitaciones en los registros y a los esfuerzos de Paragon por eliminar los rastros de la infección.

Por ejemplo, la notificación de WhatsApp y el análisis forense de Citizen Lab, publicado previamente, confirman que el Sr. Caccia es un objetivo de Paragon . Además, pudimos identificar fechas específicas en las que BIGPRETZEL estuvo en su dispositivo, lo que ayuda a esclarecer el período de la infección de Paragon.

Mientras tanto, se confirma que el Sr. Cancellato es un objetivo de Paragon mediante una notificación de WhatsApp, pero nuestro análisis de Citizen Lab aún no ha identificado evidencia forense en el dispositivo que proporcione información adicional sobre el objetivo o la infección de Paragon. Esto no es necesariamente sorprendente dadas las limitaciones forenses al realizar investigaciones en dispositivos Android. La siguiente tabla resume estos casos:

Además de los casos mencionados, dos personas han sido descritas en nuestros informes anteriores: David Yambio y el padre Mattia Ferrari. Al momento de redactar este informe, ninguna de ellas ha sido confirmada como objetivo del software espía mercenario Paragon, aunque ambas están relacionadas con los casos mencionados.

Todos hemos visto en todos los canales de YouTube "monetizados sin límites" (ya que los productores de contenido web, en teoría, pueden seleccionar algunos temas, renunciando a parte de la monetización), el video autocelebratorio de Israel que "hace felices y sonrientes a los palestinos". Ahora ha surgido otro que prácticamente "analiza" el alcance de los misiles iraníes y está dirigido a las regiones de Oriente Medio, pero especialmente a los europeos.

Según el vídeo, Irán constituye una seria amenaza para Europa, porque teóricamente es capaz de atacar a los estados europeos.

Una invitación explícita a los ciudadanos europeos a obligar a sus gobiernos a intervenir junto a un Estado genocida que posee la bomba atómica, aterrorizados por la amenaza de un Estado que sólo ha defendido al pueblo palestino y no tiene la bomba.

Según una investigación reciente de Fanpage, «desde el 7 de octubre de 2023, el gobierno israelí ha lanzado una campaña masiva de patrocinio. Ha invadido las plataformas con vídeos de propaganda creados con inteligencia artificial, ha colonizado la publicidad en YouTube y ha manipulado los resultados de búsqueda en Google. Para ello, solo ha tenido que pagar. Hemos reconstruido la campaña publicitaria de la Agencia de Publicidad del Gobierno de Israel en Italia, que se ha intensificado en los últimos meses, mediante el análisis de patrocinios en Google Ads. La estrategia de la agencia, vinculada al gobierno israelí, es simple: manipular la narrativa con herramientas propias de la comunicación comercial».

De hecho, al analizar el contenido patrocinado de la Agencia de Publicidad del Gobierno de Israel en Google, encontramos videos de programas de noticias falsas que anuncian ataques de Hamás que nunca ocurrieron, pero también videos que promocionan "una de las operaciones de asistencia humanitaria más importantes del mundo por parte de Israel". Las imágenes muestran a niños palestinos abrazando cajas de comida y la distribución de "millones de comidas" diarias en la Franja de Gaza gracias a la llegada de "miles de camiones".

El vídeo apareció hace menos de 24 horas, también traducido al italiano, en los canales oficiales del Ministerio de Asuntos Exteriores de Israel.