以色列间谍软件Graphite与最新款 iPhone 的零点击攻击有关

公民实验室的安全研究人员表示，他们有确凿的取证证据表明，以色列商业间谍软件制造商 Paragon 能够入侵最新款 iPhone，并证实有两名欧洲记者（其中一名来自意大利，另一名为欧洲著名记者，受害者要求匿名）的设备受到感染，而苹果公司在今年春天早些时候曾悄悄警告过他们。

在周四发布的一份新报告中，公民实验室记录了使用以色列商业间谍软件制造商 Paragon 开发的“Graphite”移动黑客平台攻击了两名记者。这两名记者的移动设备日志显示，他们的两部手机都与同一个 Graphite 命令和控制服务器进行通信。

通过两名受害者设备上发现的痕迹，确定攻击行动与以色列间谍软件公司Paragon开发的 Graphite 间谍软件有关。

研究人员观察到该服务器与一个 iMessage 帐户进行交互，该帐户被研究人员称为“ATTACKER1”，公民实验室称这一证据表明该操作与单个 Paragon 客户有关。

苹果公司在 2 月份发布了一个补丁来阻止底层的零点击漏洞，并在 iOS 18.3.1 中将其编目为CVE-2025-43200，但公民实验室指出，入侵期（1 月至 2 月初）清楚地表明，这些手机已经安装最新安全更新的情况下遭到入侵。

研究人员表示：“我们的取证分析得出结论，该记者的一台设备在 2025 年 1 月和 2 月初运行 iOS 18.2.1 时遭到 Paragon 公司开发的 Graphite 间谍软件攻击。”

公民实验室的报告还强调了一种战术演变，即运营商似乎在多个平台上重复使用基础设施，这使得研究人员更容易从单个 IP 地址转向整个客户集群。

在这种情况下，公民实验室表示，共享的 ATTACKER1 帐户和托管在奥地利数据中心的另一个指纹服务器指向一个针对 iOS 和 Android 设备的客户，并且截至 4 月中旬仍然活跃。

Paragon 起源于以色列，最近被一家美国私募股权公司收购，该公司将 Graphite 推销为执法部门的合法拦截工具，能够从移动设备和加密消息应用程序中捕获数据。

该公司涉嫌对 Meta 旗下热门 WhatsApp 即时通讯应用发起零日攻击，并在意大利卷入了针对记者的丑闻。Paragon 最近宣布终止与意大利政府的合同。

公民实验室表示，它已向 Paragon 发送了最新调查结果的摘要，并愿意发布完整的回应。 截止本文发布， Paragon 公司没有给出任何回复。

2025年6月5日，意大利政府负责监督意大利情报部门的议会委员会（COPASIR：Comitato Parlamentare per la Sicurezza della Repubblica）发布了对意大利Paragon事件的调查报告。

报告承认，意大利政府曾使用 Paragon 的 Graphite 间谍软件对付 Luca Casarini 和 Giuseppe “Beppe” Caccia 博士，而我们在这两位嫌疑人身上发现了 Graphite 存在的法医证据（通过BIGPRETZEL安卓指示器）。

公民实验室的研究报告：

Paragon iOS 雇佣间谍软件针对记者的攻击首次被法医证据确认

https://citizenlab.ca/2025/06/first-forensic-confirmation-of-paragons-ios-mercenary-spyware-finds-journalists-targeted/

新闻链接：

https://www.securityweek.com/paragon-graphite-spyware-linked-to-zero-click-hacks-on-newest-iphones/