Apple ha revelado que una equivocación de seguridad ahora parecida presente en su aplicación de mensajes fue explotada activamente en la naturaleza para atacar a los miembros de la sociedad civil en ataques cibernéticos sofisticados.
La vulnerabilidad, rastreada como CVE-2025-43200, se abordó el 10 de febrero de 2025, como parte de iOS 18.3.1, iPados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, Macos Sonoma 14.7.4, macos Ventura 13.7.4, Watchos 11.3.1, y Visisers 2.3.1.
«Existía un problema dialéctico al procesar una foto o video maliciosamente elaborada compartida a través de un enlace de iCloud», dijo la compañía en un aviso, y agregó que la vulnerabilidad se abordó con los cheques mejorados.
El fabricante de iPhone asimismo reconoció que es consciente de que la vulnerabilidad «puede poseer sido explotada en un ataque extremadamente sofisticado contra individuos específicamente dirigidos».
Vale la pena señalar que las actualizaciones iOS 18.3.1, iPados 18.3.1 y iPados 17.7.5 asimismo resolvieron otro día cero explotado activamente rastreado como CVE-2025-24200. Actualmente no se sabe por qué Apple decidió no revelar la existencia de este defecto hasta ahora.
Si correctamente Apple no compartió más detalles sobre la naturaleza de los ataques con el armas de CVE-2025-43200, el Laboratorio Citizen dijo que desenterró la evidencia forense de que la deficiencia fue aprovechada para atacar al periodista italiano Ciro Pellegrino y a un periodista europeo no identificado e infectarlos con el spywware de Paragon Jornalero.
El centro de investigación interdisciplinario describió el ataque como un clic cero, lo que significa que la vulnerabilidad podría activarse en dispositivos específicos sin requerir ninguna interacción del adjudicatario.
«Uno de los dispositivos del periodista se vio comprometido con el sofito de plumbagina de Paragon en enero y principios de febrero de 2025 mientras ejecutaba iOS 18.2.1», dijeron los investigadores Bill Marczak y John Scott-Railton. «Creemos que esta infección no habría sido visible para el objetivo».
Los dos individuos fueron notificados el 29 de abril de 2025 por Apple de que fueron atacados con un spyware liberal. Apple comenzó a destinar notificaciones de amenazas para alertar a los usuarios que sospecha que los atacantes patrocinados por el estado a partir de noviembre de 2021.
El plumbagina es una útil de vigilancia desarrollada por el actor ofensivo del sector privado israelí (PSOA) Paragon. Puede consentir a mensajes, correos electrónicos, cámaras, micrófonos y datos de ubicación sin ninguna obra del adjudicatario, lo que dificulta especialmente la detección y la prevención. El spyware suele ser desplegado por clientes gubernamentales bajo la apariencia de investigaciones de seguridad franquista.
El Laboratorio Citizen dijo que los dos periodistas fueron enviados a iMessages de la misma cuenta de Apple (con nombre en código «Attacleer1») para implementar la útil de plumbagina, lo que indica que la cuenta puede poseer sido utilizada por un solo cliente de Paragon para atacarlos.
El crecimiento es el postrero molinete en un escándalo que estalló en enero, cuando Whatsapp de propiedad meta divulgó que el spyware se había desplegado contra docenas de usuarios en todo el mundo, incluido el colega de Pellegrino, Francesco Cancellato. En total, un total de siete individuos han sido identificados públicamente como víctimas de la focalización y infección de Paragon hasta la plazo.
A principios de esta semana, el fabricante de spyware israelí dijo que ha rescindido sus contratos con Italia, citando la negativa del gobierno a permitir que la compañía verifique independientemente que las autoridades italianas no entran en el teléfono del periodista investigador.
«La compañía ofreció al gobierno italiano y al parlamento una forma de determinar si su sistema se había utilizado contra el periodista en violación de la ley italiana y los términos contractuales», dijo en un comunicado a Haaretz.
Sin bloqueo, el gobierno italiano dijo que la audacia fue mutua y que rechazó la propuesta oportuno a preocupaciones de seguridad franquista.
El Comité Parlamentario para la Seguridad de la República (Copasir), en un referencia publicado la semana pasada, confirmó que los servicios de inteligencia extranjeros y nacionales italianos usaron plumbagina para dirigirse a los teléfonos de un número constreñido de personas luego de la aprobación reglamentario necesaria.
Copasir agregó que el spyware se usó para averiguar fugitivos, contraer inmigración ilegal, supuesto terrorismo, delitos organizados, contrabando de combustible y contrapión y actividades de seguridad interna. Sin bloqueo, el teléfono perteneciente a Cancellato no estaba entre las víctimas, dijo, dejando una pregunta esencia sobre quién pudo poseer atacado al periodista sin respuesta.
Sin bloqueo, el referencia arroja luz sobre cómo funciona la infraestructura de spyware de Paragon en segundo plano. Dijo que un cámara tiene que iniciar sesión con un nombre de adjudicatario y contraseña para usar plumbagina. Cada implementación del spyware genera registros detallados que se encuentran en un servidor controlado por el cliente y no accesible por Paragon.
«La descuido de responsabilidad apto para estos objetivos de spyware resalta la medida en que los periodistas en Europa continúan sometidos a esta amenaza digital en gran medida invasiva y subraya los peligros de la proliferación y el exageración de los agente», dijo el Laboratorio Citizen.
La Unión Europea (UE) ha planteado previamente preocupaciones sobre el uso sin control del spyware comercial, que pide controles de exportación más fuertes y salvaguardas legales. Casos recientes como este podrían intensificar la presión para las reformas regulatorias a nivel franquista y de la UE.
El sistema de notificación de amenazas de Apple se friso en la inteligencia de amenazas interna y puede no detectar todas las instancias de orientación. La compañía señala que aceptar dicha advertencia no confirma una infección activa, pero indica que se observó una actividad inusual consistente con un ataque dirigido.
El regreso del depredador
Las últimas revelaciones se producen cuando el comunidad Insikt registrado de Future dijo que observó un «resurgimiento» de la actividad relacionada con los depredadores, meses luego de que el gobierno de los Estados Unidos sancionó a varias personas vinculadas al proveedor de spyware israelí Intellexa/Cytrox.
Esto incluye la identificación de los nuevos servidores de nivel 1 orientados a las víctimas, un cliente previamente desconocido en Mozambique y conexiones entre la infraestructura de depredadores y Foxitech SRO, una entidad checa previamente asociada con el consorcio Intellexa.
En los últimos dos abriles, los operadores de depredadores han sido marcados en más de una docena de condados, como Angola, Armenia, Botswana, la República Democrática del Congo, Egipto, Indonesia, Kazajstán, Mongolia, Mozambique, Omán, Filipinas, Saudi Arabia y Trinidad y Tobago.
«Esto se alinea con la observación más amplia de que Predator es muy activo en África, con más de la fracción de sus clientes identificados ubicados en el continente», dijo la compañía.
«Esto probablemente refleja la creciente demanda de herramientas de spyware, especialmente en países que enfrentan restricciones de exportación, innovación técnica continua en respuesta a los informes públicos y mejoras de seguridad, y estructuras corporativas cada vez más complejas diseñadas para impedir sanciones y atribuciones».
