Apple ha revelado que una error de seguridad ahora parecida presente en su aplicación de mensajes fue explotada activamente en la naturaleza para atacar a los miembros de la sociedad civil en ataques cibernéticos sofisticados.
La vulnerabilidad, rastreada como CVE-2025-43200, se abordó el 10 de febrero de 2025, como parte de iOS 18.3.1, iPados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, Macos Sonoma 14.7.4, macos Ventura 13.7.4, Watchos 11.3.1, y Visisers 2.3.1.
“Existía un problema racional al procesar una foto o video maliciosamente elaborada compartida a través de un enlace de iCloud”, dijo la compañía en un aviso, y agregó que la vulnerabilidad se abordó con los cheques mejorados.
El fabricante de iPhone además reconoció que es consciente de que la vulnerabilidad “puede suceder sido explotada en un ataque extremadamente sofisticado contra individuos específicamente dirigidos”.
Vale la pena señalar que las actualizaciones iOS 18.3.1, iPados 18.3.1 y iPados 17.7.5 además resolvieron otro día cero explotado activamente rastreado como CVE-2025-24200. Actualmente no se sabe por qué Apple decidió no revelar la existencia de este defecto hasta ahora.
Si perfectamente Apple no compartió más detalles sobre la naturaleza de los ataques con el armamento de CVE-2025-43200, el Laboratorio Citizen dijo que desenterró la evidencia forense de que la deficiencia fue aprovechada para atacar al periodista italiano Ciro Pellegrino y a un periodista europeo no identificado e infectarlos con el spywware de Paragon Mesnadero.
El centro de investigación interdisciplinario describió el ataque como un clic cero, lo que significa que la vulnerabilidad podría activarse en dispositivos específicos sin requerir ninguna interacción del becario.
“Uno de los dispositivos del periodista se vio comprometido con el sofito de mina de Paragon en enero y principios de febrero de 2025 mientras ejecutaba iOS 18.2.1”, dijeron los investigadores Bill Marczak y John Scott-Railton. “Creemos que esta infección no habría sido visible para el objetivo”.
Los dos individuos fueron notificados el 29 de abril de 2025 por Apple de que fueron atacados con un spyware reformista. Apple comenzó a remitir notificaciones de amenazas para alertar a los usuarios que sospecha que los atacantes patrocinados por el estado a partir de noviembre de 2021.
El mina es una útil de vigilancia desarrollada por el actor ofensivo del sector privado israelí (PSOA) Paragon. Puede entrar a mensajes, correos electrónicos, cámaras, micrófonos y datos de ubicación sin ninguna obra del becario, lo que dificulta especialmente la detección y la prevención. El spyware suele ser desplegado por clientes gubernamentales bajo la apariencia de investigaciones de seguridad doméstico.
El Laboratorio Citizen dijo que los dos periodistas fueron enviados a iMessages de la misma cuenta de Apple (con nombre en código “Attacleer1”) para implementar la útil de mina, lo que indica que la cuenta puede suceder sido utilizada por un solo cliente de Paragon para atacarlos.
El mejora es el final rotación en un escándalo que estalló en enero, cuando Whatsapp de propiedad meta divulgó que el spyware se había desplegado contra docenas de usuarios en todo el mundo, incluido el colega de Pellegrino, Francesco Cancellato. En total, un total de siete individuos han sido identificados públicamente como víctimas de la focalización y infección de Paragon hasta la término.
A principios de esta semana, el fabricante de spyware israelí dijo que ha rescindido sus contratos con Italia, citando la negativa del gobierno a permitir que la compañía verifique independientemente que las autoridades italianas no entran en el teléfono del periodista investigador.
“La compañía ofreció al gobierno italiano y al parlamento una forma de determinar si su sistema se había utilizado contra el periodista en violación de la ley italiana y los términos contractuales”, dijo en un comunicado a Haaretz.
Sin retención, el gobierno italiano dijo que la atrevimiento fue mutua y que rechazó la proposición correcto a preocupaciones de seguridad doméstico.
El Comité Parlamentario para la Seguridad de la República (Copasir), en un noticia publicado la semana pasada, confirmó que los servicios de inteligencia extranjeros y nacionales italianos usaron mina para dirigirse a los teléfonos de un número establecido de personas posteriormente de la aprobación judicial necesaria.
Copasir agregó que el spyware se usó para averiguar fugitivos, contraer inmigración ilegal, supuesto terrorismo, delitos organizados, contrabando de combustible y contrapión y actividades de seguridad interna. Sin retención, el teléfono perteneciente a Cancellato no estaba entre las víctimas, dijo, dejando una pregunta esencia sobre quién pudo suceder atacado al periodista sin respuesta.
Sin retención, el noticia arroja luz sobre cómo funciona la infraestructura de spyware de Paragon en segundo plano. Dijo que un cirujano tiene que iniciar sesión con un nombre de becario y contraseña para usar mina. Cada implementación del spyware genera registros detallados que se encuentran en un servidor controlado por el cliente y no accesible por Paragon.
“La desliz de responsabilidad habitable para estos objetivos de spyware resalta la medida en que los periodistas en Europa continúan sometidos a esta amenaza digital mucho invasiva y subraya los peligros de la proliferación y el alcaldada de los infiltrado”, dijo el Laboratorio Citizen.
La Unión Europea (UE) ha planteado previamente preocupaciones sobre el uso sin control del spyware comercial, que pide controles de exportación más fuertes y salvaguardas legales. Casos recientes como este podrían intensificar la presión para las reformas regulatorias a nivel doméstico y de la UE.
El sistema de notificación de amenazas de Apple se base en la inteligencia de amenazas interna y puede no detectar todas las instancias de orientación. La compañía señala que admitir dicha advertencia no confirma una infección activa, pero indica que se observó una actividad inusual consistente con un ataque dirigido.
El regreso del depredador
Las últimas revelaciones se producen cuando el familia Insikt registrado de Future dijo que observó un “resurgimiento” de la actividad relacionada con los depredadores, meses posteriormente de que el gobierno de los Estados Unidos sancionó a varias personas vinculadas al proveedor de spyware israelí Intellexa/Cytrox.
Esto incluye la identificación de los nuevos servidores de nivel 1 orientados a las víctimas, un cliente previamente desconocido en Mozambique y conexiones entre la infraestructura de depredadores y Foxitech SRO, una entidad checa previamente asociada con el consorcio Intellexa.
En los últimos dos abriles, los operadores de depredadores han sido marcados en más de una docena de condados, como Angola, Armenia, Botswana, la República Democrática del Congo, Egipto, Indonesia, Kazajstán, Mongolia, Mozambique, Omán, Filipinas, Saudi Arabia y Trinidad y Tobago.
“Esto se alinea con la observación más amplia de que Predator es muy activo en África, con más de la centro de sus clientes identificados ubicados en el continente”, dijo la compañía.
“Esto probablemente refleja la creciente demanda de herramientas de spyware, especialmente en los países que enfrentan restricciones de exportación, innovación técnica continua en respuesta a los informes públicos y mejoras de seguridad, y estructuras corporativas cada vez más complejas diseñadas para impedir sanciones y atribuciones”.
