最近的法医调查证实,Paragon公司的Graphite间谍软件平台被用于针对欧洲至少两名记者的苹果iOS设备进行零点击攻击。研究人员在Citizen Lab表示,受害者包括一位要求匿名的著名欧洲记者,以及来自意大利出版物Fanpage.it的记者Ciro Pellegrino。
这些攻击发生在2025年初,苹果公司于4月29日向两名受害者发送通知,告知他们已被“高级间谍软件”瞄准。攻击者利用Paragon的Graphite间谍软件平台,针对运行iOS 18.2.1的受害者iPhone设备,并利用当时的零日漏洞CVE-2025-43200。
Citizen Lab的分析显示,Graphite的传递媒介为iMessage。攻击者使用一个在研究中被标记为‘ATTACKER1’的账户发送特别设计的信息,以利用CVE-2025-43200进行远程代码执行。此攻击无需目标用户进行任何互动,称为零点击攻击,并且没有产生任何可见的警告信号。
一旦激活,间谍软件会联系指挥和控制(C2)服务器以接收进一步指令。根据Citizen Lab的确认,受感染的手机连接到https://46.183.184[.]91,该IP地址与Paragon的基础设施相关联。