تحقیقات امنیتی استفاده از بدافزار جاسوسی Graphite شرکت Paragon را در حملات بدون کلیک علیه دستگاه‌های iOS اپل تأیید کرد. این حملات حداقل دو خبرنگار اروپایی را هدف قرار داده است.

محققان آزمایشگاه Citizen Lab اعلام کردند که قربانیان شامل یک خبرنگار برجسته اروپایی که خواستار ناشناس ماندن شده و چیرو پلگرینو، خبرنگار نشریه ایتالیایی Fanpage.it هستند. تحلیل‌های انجام شده با اطمینان بالا نشان می‌دهد که هر دو خبرنگار با بدافزار جاسوسی Graphite مورد هدف قرار گرفته‌اند.

این حملات در اوایل سال ۲۰۲۵ رخ داد و اپل در تاریخ ۲۹ آوریل به قربانیان اطلاع داد که توسط “بدافزار پیشرفته” هدف قرار گرفته‌اند. مهاجمان از پلتفرم بدافزار جاسوسی Graphite برای هدف قرار دادن دستگاه‌های آیفون با سیستم عامل iOS 18.2.1 استفاده کردند و آسیب‌پذیری CVE-2025-43200 را که در آن زمان یک آسیب‌پذیری روز صفر بود، مورد سوءاستفاده قرار دادند.

اپل این نقص امنیتی را به عنوان “یک مشکل منطقی در هنگام پردازش عکس یا ویدیوی مخرب که از طریق لینک iCloud به اشتراک گذاشته شده” توصیف کرد. این شرکت آسیب‌پذیری را در نسخه بعدی iOS یعنی 18.3.1 در تاریخ ۱۰ فوریه با افزودن بررسی‌های بهبود یافته برطرف کرد.

بر اساس تحلیل Citizen Lab، بردار تحویل Graphite از طریق iMessage بود. مهاجم از یک حساب کاربری که در تحقیقات با نام عمومی “ATTACKER1” نامگذاری شده، برای ارسال پیام‌های ویژه طراحی شده استفاده کرد که آسیب‌پذیری CVE-2025-43200 را برای اجرای کد از راه دور مورد سوءاستفاده قرار می‌داد.

این روش باعث نصب بدافزار جاسوسی بدون نیاز به هیچ تعاملی از سوی قربانی شد که به آن حمله بدون کلیک گفته می‌شود و هیچ نشانه قابل مشاهده‌ای برای هشدار به قربانی تولید نکرد.

پس از فعال شدن، بدافزار جاسوسی با سرور فرماندهی و کنترل (C2) تماس برقرار می‌کند تا دستورالعمل‌های بیشتری دریافت کند. در مورد تأیید شده توسط Citizen Lab، تلفن آلوده به آدرس https://46.183.184.91 متصل شد که یک VPS مرتبط با زیرساخت Paragon بود. این آدرس IP روی EDIS Global میزبانی می‌شد و حداقل تا ۱۲ آوریل فعال بود.

اگرچه اثر کمی روی دستگاه‌ها باقی مانده بود، Citizen Lab توانست برخی گزارش‌ها را بازیابی کند که حاوی شواهد کافی برای انتساب حملات به بدافزار جاسوسی Graphite شرکت Paragon با اطمینان بالا بود.

همین خانواده بدافزار جاسوسی در اوایل امسال در حمله بدون کلیک دیگری که از آسیب‌پذیری روز صفر در واتساپ سوءاستفاده می‌کرد، شناسایی شد و قربانیان ایتالیایی دیگری را هدف قرار داد.

مقامات ایتالیایی در اوایل این ماه حملات متعددی علیه افراد در این کشور را تأیید کردند، از جمله خبرنگار فرانچسکو کانچلاتو و فعالان لوکا کازارینی و دکتر جوزپه “بپه” کاچیا. با این حال، طرف‌های مسئول این حملات در حال حاضر به طور عمومی شناخته نشده‌اند.