Il recente rapporto del Citizen Lab ha rivelato che i governi di Australia, Canada, Cipro, Danimarca, Israele e Singapore potrebbero essere clienti del software di spionaggio sviluppato dalla compagnia israeliana Paragon Solutions. Questo software, noto come Graphite, è in grado di raccogliere dati sensibili dalle applicazioni di messaggistica istantanea su un dispositivo. Paragon, fondata nel 2019 da Ehud Barak ed Ehud Schneorson, è diventata un punto focale di discussione a causa delle sue capacità di sorveglianza avanzate.

Il rapporto del Citizen Lab evidenzia che questi governi sono stati identificati come "possibili implementazioni di Paragon" attraverso la mappatura dell'infrastruttura server sospettata di essere associata al software di spionaggio. Questo sviluppo segue di pochi mesi la dichiarazione di WhatsApp, di proprietà di Meta, che ha avvisato circa 90 giornalisti e membri della società civile di essere stati bersaglio del software Graphite. Gli attacchi sono stati interrotti nel dicembre 2024.

Le vittime di questi attacchi erano distribuite in oltre due dozzine di paesi, inclusi diversi in Europa come Belgio, Grecia, Lettonia, Lituania, Austria, Cipro, Repubblica Ceca, Danimarca, Germania, Paesi Bassi, Portogallo, Spagna e Svezia. Un portavoce di WhatsApp ha dichiarato a The Hacker News che "questo è l'ultimo esempio di perché le compagnie di spyware devono essere ritenute responsabili per le loro azioni illegali" e che l'azienda continuerà a proteggere la capacità delle persone di comunicare in privato.

Gli attacchi implicavano l'aggiunta dei bersagli a un gruppo WhatsApp e l'invio di un documento PDF, che veniva automaticamente analizzato per attivare la vulnerabilità zero-day ora corretta e caricare il software di spionaggio Graphite. La fase finale comporta l'uscita dalla sandbox di Android per compromettere altre app sui dispositivi mirati.

Ulteriori indagini sui dispositivi Android compromessi hanno rivelato un artefatto forense chiamato BIGPRETZEL, sospettato di identificare unicamente le infezioni con lo spyware Graphite di Paragon. Inoltre, si è scoperto un probabile attacco Paragon che ha colpito un iPhone appartenente a un fondatore dell'organizzazione Refugees in Libya, con sede in Italia, nel giugno 2024. Apple ha risolto il vettore di attacco con il rilascio di iOS 18.

Apple ha dichiarato che "gli attacchi di spyware mercenario come questo sono estremamente sofisticati, costano milioni di dollari per lo sviluppo, hanno spesso una vita breve e vengono utilizzati per colpire individui specifici a causa di chi sono o cosa fanno". Dopo aver rilevato gli attacchi, i team di sicurezza di Apple hanno rapidamente sviluppato e distribuito una correzione nella versione iniziale di iOS 18 per proteggere gli utenti iPhone e hanno inviato notifiche di minaccia di Apple per informare e assistere gli utenti che potrebbero essere stati individualmente presi di mira.