_副本-ldwe.png)
Paragon iOS 间谍软件首次被确认为针对记者
介绍
2025 年 4 月 29 日,苹果公司通知部分 iOS 用户,称他们受到了高级间谍软件的攻击。其中有两名记者同意接受苹果的技术分析。我们对他们的设备进行取证分析,主要发现总结如下:
我们的分析发现,取证证据高度可靠地证实,著名的欧洲记者(要求匿名)和意大利记者 Ciro Pellegrino 都成为了 Paragon 的 Graphite 雇佣间谍软件的攻击目标。
我们确定了一个指标,将两种情况与同一个 Paragon 操作员联系起来。
苹果公司向我们确认,这些情况下部署的零点击攻击已在 iOS 18.3.1 中得到缓解,并已分配漏洞 CVE-2025-43200。
我们的分析仍在进行中。
案例一:著名欧洲记者
我们分析了一位不愿透露姓名的欧洲知名记者的 Apple 设备。2025 年 4 月 29 日,这位记者收到了 Apple 的通知,并寻求技术帮助。
我们的取证分析得出结论,该记者的一台设备在 2025 年 1 月至 2 月初,在运行 iOS 18.2.1 系统时,遭到了 Paragon 公司 Graphite 间谍软件的攻击。我们高度确信此次攻击是由 Graphite 发起的,因为该设备日志显示,在同一时间段内,它向服务器发出了一系列请求,而这些请求与我们公布的指纹 P1 相匹配。我们高度确信该指纹与 Paragon 公司的 Graphite 间谍软件存在关联。
记者的设备联系的 Graphite 间谍软件服务器:
https://46.183.184[.]91/该服务器似乎是从 VPS 提供商 EDIS Global 租用的。该服务器一直处于在线状态,并且至少持续匹配指纹 P1,直至 2025 年 4 月 12 日。
_副本-lnmd.png)
Graphite Caught: First Forensic Confirmation of Paragon’s iOS Mercenary Spyware Finds Journalists Targeted 1
图 1. 感染期间记者手机联系的 IP 地址的 Censys 结果。
我们在手机与 Paragon 服务器 46.183.184[.]91 通信的同时,在设备日志中发现了一个 iMessage 帐户。我们屏蔽了该帐户,并将其标记为 ATTACKER1。根据取证分析,我们得出结论,该帐户被用于通过复杂的 iMessage 零点击攻击部署 Paragon 的 Graphite 间谍软件。我们认为,目标用户无法察觉此次感染。Apple 已向我们确认,此处部署的零点击攻击已在 iOS 18.3.1 版本中得到缓解,并已为该零日漏洞分配了 CVE-2025-43200。
案例二:西罗·佩莱格里诺
Ciro Pellegrino 是一名记者,也是 Fanpage.it 那不勒斯新闻编辑室的负责人,他曾报道过许多备受瞩目的案件。2025 年 4 月 29 日,Pellegrino 先生收到了 Apple 的通知,并寻求我们的技术帮助。
我们分析了佩莱格里诺先生 iPhone 中的文件,并高度确信该设备已被 Paragon 的 Graphite 间谍软件攻击。我们对设备日志的分析发现,其中存在与案例 1 中针对记者的攻击相同的 ATTACKER1 iMessage 账户,因此我们认为该账户与 Graphite 零点击感染尝试有关。
Graphite Caught: First Forensic Confirmation of Paragon’s iOS Mercenary Spyware Finds Journalists Targeted 2
图 2. 通过在 Ciro Pellegrino 和未透露姓名的著名欧洲记者的设备上发现的痕迹,确定该问题与 Paragon 的 Graphite 间谍软件有关。
雇佣型间谍软件公司的每个客户通常都会拥有自己的专用基础设施。因此,我们认为 ATTACKER1 帐户可能由一位 Graphite 客户/运营者独占使用,并且我们得出结论,该客户同时针对了这两个人。
我们对这些攻击以及 Paragon 的 iOS 功能进行取证分析仍在进行中。
Fanpage.it Paragon 集群
佩莱格里诺先生的密切同事、Fanpage.it 编辑弗朗切斯科·坎切拉托(Francesco Cancellato)在2025年1月收到WhatsApp通知,称他成为了Paragon公司Graphite间谍软件的攻击目标。
公民实验室(Citizen Lab)一直在对坎切拉托先生的安卓设备进行取证分析。然而,截至我们的初步报告,我们无法获得坎切拉托先生安卓设备成功感染的取证确认。正如我们当时解释的:"鉴于安卓日志的零散性质,在特定设备上未发现BIGPRETZEL并不意味着该手机没有被成功入侵,而只是相关日志可能没有被捕获或可能已被覆盖。"
继坎切拉托先生的案例之后,在Fanpage.it发现第二名记者成为Paragon攻击目标,这表明存在针对该新闻机构的有组织行动。这似乎是一个独特的案例集群,值得进一步审查。
Paragon 和意大利政府的声明
2025 年 6 月 5 日,意大利政府负责监督意大利情报部门的议会委员会(COPASIR:Comitato Parlamentare per la Sicurezza della Repubblica)发布了对意大利 Paragon 事件的调查报告。
报告承认,意大利政府曾使用 Paragon 的 Graphite 间谍软件对付 Luca Casarini 和 Giuseppe “Beppe” Caccia 博士,而我们在这两位嫌疑人身上发现了 Graphite 存在的取证证据(通过 BIGPRETZEL 安卓指示器)。然而,报告指出,他们无法确定究竟是谁用 Graphite 攻击了 Cancellato 先生。
2025 年 6 月 9 日,《国土报》报道称,Paragon 曾提出协助意大利政府调查坎塞拉托先生一案,但该提议遭到意大利政府拒绝。Paragon 还暗示,他们单方面终止了与意大利的合同。
当天晚些时候,负责协调意大利情报部门的意大利安全情报部(DIS:Dipartimento delle Informazioni per la Sicurezza)回应称,由于担心向 Paragon 披露其活动会危害国家安全,该部拒绝了 Paragon 的提议。他们表示,向 Paragon 提供此类访问权限将损害意大利安全部门在全球同行中的声誉。他们否认合同终止是单方面的。同一天晚些时候,COPASIR 委员会表示,他们选择不继续 Paragon 的提议,而是选择直接查询 Paragon 数据库,因为他们认为这两种方法是等效的。该委员会还表示愿意解密 Paragon 向委员会提供的证词。
Paragon Solutions 的回应
2025 年 6 月 10 日,我们向 Paragon Solutions 发送了最新调查结果的摘要,并给予他们回复的机会。我们承诺将全文发布。截至本文发布时,我们尚未收到回复。
欧洲持续的间谍软件危机:记者面临风险
截至本文发稿时,已有三名欧洲记者被确认为 Paragon Graphite雇佣间谍软件的目标。其中两项确认已通过取证鉴定,第三项确认来自 Meta 的通知。然而,迄今为止,尚无关于谁负责监视这些记者的解释。
此外,第二起案件与意大利特定新闻媒体(Fanpage.it)有关,这一消息使得人们更加迫切地想知道哪位 Paragon 客户应对此次攻击负责,以及此次攻击依据什么法律依据(如果有的话)进行。
这些间谍软件目标缺乏问责,凸显了欧洲记者在多大程度上继续受到这种高度侵入性的数字威胁,并强调了间谍软件扩散和滥用的危险。
你收到警告了吗?
如果你收到来自 Apple、Meta、WhatsApp、Google 或其他公司的间谍软件警告,请认真对待并寻求专家帮助。
以下是此类通知的一个示例:
_副本-trdh.png)
图 3. Ciro Pellegrino 收到的引发我们调查的 Apple 威胁通知摘录。
免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。
