اپل اعلام کرد که یک آسیب‌پذیری امنیتی در اپلیکیشن Messages که اکنون رفع شده، به طور فعال برای هدف قرار دادن اعضای جامعه مدنی در حملات سایبری پیچیده مورد سوءاستفاده قرار گرفته است. این آسیب‌پذیری با شناسه CVE-2025-43200 در تاریخ ۱۰ فوریه ۲۰۲۵ در نسخه‌های iOS 18.3.1، iPadOS 18.3.1، iPadOS 17.7.5، macOS Sequoia 15.3.1، macOS Sonoma 14.7.4، macOS Ventura 13.7.4، watchOS 11.3.1 و visionOS 2.3.1 برطرف شد.

اپل در بیانیه‌ای اعلام کرد: “یک مشکل منطقی هنگام پردازش عکس یا ویدیوی مخرب که از طریق لینک iCloud به اشتراک گذاشته شده بود، وجود داشت.” این شرکت افزود که آسیب‌پذیری با بهبود بررسی‌ها رفع شده است.

سازنده آیفون همچنین تصدیق کرد که از سوءاستفاده از این آسیب‌پذیری “در یک حمله فوق‌العاده پیچیده علیه افراد خاص” آگاه است. قابل ذکر است که به‌روزرسانی‌های iOS 18.3.1، iPadOS 18.3.1 و iPadOS 17.7.5 همچنین یک آسیب‌پذیری روز صفر دیگر با شناسه CVE-2025-24200 را که به طور فعال مورد سوءاستفاده قرار گرفته بود، برطرف کردند.

در حالی که اپل جزئیات بیشتری درباره ماهیت حملات ارائه نداد، آزمایشگاه Citizen Lab اعلام کرد شواهد دیجیتالی کشف کرده که نشان می‌دهد از این آسیب‌پذیری برای هدف قرار دادن چیرو پلگرینو، روزنامه‌نگار ایتالیایی، و یک روزنامه‌نگار برجسته اروپایی دیگر استفاده شده و آنها را با جاسوس‌افزار Graphite شرکت Paragon آلوده کرده است.

این مرکز تحقیقاتی حمله را “بدون کلیک” توصیف کرد، به این معنی که آسیب‌پذیری می‌توانست بدون نیاز به هیچ تعاملی از سوی کاربر در دستگاه‌های هدف فعال شود. محققان بیل مارچک و جان اسکات-ریلتون گفتند: “یکی از دستگاه‌های روزنامه‌نگار در ژانویه و اوایل فوریه ۲۰۲۵ در حالی که iOS 18.2.1 را اجرا می‌کرد، با جاسوس‌افزار Graphite شرکت Paragon آلوده شد. ما معتقدیم این آلودگی برای هدف قابل مشاهده نبوده است.”

هر دو نفر در ۲۹ آوریل ۲۰۲۵ توسط اپل مطلع شدند که با جاسوس‌افزار پیشرفته هدف قرار گرفته‌اند. اپل از نوامبر ۲۰۲۱ شروع به ارسال اعلان‌های تهدید برای هشدار به کاربرانی کرد که احتمال می‌دهد توسط مهاجمان دولتی هدف قرار گرفته باشند.

Graphite ابزار نظارتی است که توسط شرکت اسرائیلی Paragon توسعه یافته است. این ابزار می‌تواند بدون هیچ اقدامی از سوی کاربر به پیام‌ها، ایمیل‌ها، دوربین‌ها، میکروفون‌ها و داده‌های مکانی دسترسی پیدا کند، که تشخیص و پیشگیری از آن را بسیار دشوار می‌کند. این جاسوس‌افزار معمولاً توسط مشتریان دولتی تحت عنوان تحقیقات امنیت ملی استفاده می‌شود.

آزمایشگاه Citizen Lab گفت که به دو روزنامه‌نگار از همان حساب اپل (با نام رمز “ATTACKER1”) پیام‌های iMessage ارسال شده تا ابزار Graphite را مستقر کنند، که نشان می‌دهد این حساب ممکن است توسط یک مشتری Paragon برای هدف قرار دادن آنها استفاده شده باشد.

این تحول آخرین پیچش در رسوایی است که در ژانویه رخ داد، زمانی که واتساپ متعلق به متا فاش کرد که این جاسوس‌افزار علیه ده‌ها کاربر در سراسر جهان، از جمله همکار پلگرینو، فرانچسکو کانچلاتو، استفاده شده است. در مجموع، تاکنون هفت نفر به طور عمومی به عنوان قربانیان هدف‌گیری و آلودگی Paragon شناسایی شده‌اند.

اوایل این هفته، سازنده جاسوس‌افزار اسرائیلی اعلام کرد که قراردادهای خود با ایتالیا را به دلیل امتناع دولت از اجازه دادن به شرکت برای تأیید مستقل اینکه مقامات ایتالیایی به تلفن روزنامه‌نگار تحقیقی نفوذ نکرده‌اند، فسخ کرده است.

شرکت در بیانیه‌ای به هاآرتص گفت: “شرکت به دولت و پارلمان ایتالیا راهی برای تعیین اینکه آیا سیستم آن علیه روزنامه‌نگار در نقض قانون ایتالیا و شرایط قراردادی استفاده شده است، پیشنهاد داد.” با این حال، دولت ایتالیا گفت که این تصمیم دوجانبه بوده و به دلیل نگرانی‌های امنیت ملی این پیشنهاد را رد کرده است.

کمیته پارلمانی امنیت جمهوری (COPASIR) در گزارشی که هفته گذشته منتشر شد، تأیید کرد که سرویس‌های اطلاعاتی خارجی و داخلی ایتالیا از Graphite برای هدف قرار دادن تلفن‌های تعداد محدودی از افراد پس از تأیید قانونی لازم استفاده کرده‌اند.

COPASIR افزود که این جاسوس‌افزار برای جستجوی فراریان، مقابله با مهاجرت غیرقانونی، تروریسم ادعایی، جرایم سازمان‌یافته، قاچاق سوخت و فعالیت‌های ضدجاسوسی و امنیت داخلی استفاده شده است. با این حال، تلفن متعلق به کانچلاتو در میان قربانیان نبود و این سؤال کلیدی که چه کسی ممکن است روزنامه‌نگار را هدف قرار داده باشد، بی‌پاسخ ماند.

این گزارش نحوه عملکرد زیرساخت جاسوس‌افزار Paragon را روشن می‌کند. طبق گزارش، اپراتور باید با نام کاربری و رمز عبور وارد شود تا از Graphite استفاده کند. هر استقرار جاسوس‌افزار گزارش‌های دقیقی تولید می‌کند که در سروری تحت کنترل مشتری قرار دارد و Paragon به آن دسترسی ندارد.

آزمایشگاه Citizen Lab گفت: “فقدان پاسخگویی در دسترس برای این اهداف جاسوس‌افزار، میزانی را که روزنامه‌نگاران در اروپا همچنان در معرض این تهدید دیجیتال بسیار تهاجمی قرار دارند، برجسته می‌کند و خطرات گسترش و سوءاستفاده از جاسوس‌افزار را نشان می‌دهد.”

اتحادیه اروپا قبلاً نگرانی‌هایی درباره استفاده بی‌رویه از جاسوس‌افزار تجاری مطرح کرده و خواستار کنترل‌های صادراتی قوی‌تر و حفاظت‌های قانونی شده است. موارد اخیر مانند این مورد می‌تواند فشار برای اصلاحات نظارتی در سطوح ملی و اتحادیه اروپا را تشدید کند.

سیستم اعلان تهدید اپل بر اساس اطلاعات تهدید داخلی است و ممکن است همه موارد هدف‌گیری را تشخیص ندهد. این شرکت اشاره می‌کند که دریافت چنین هشداری عفونت فعال را تأیید نمی‌کند، اما نشان می‌دهد که فعالیت غیرعادی مطابق با حمله هدفمند مشاهده شده است.

بازگشت Predator

آخرین افشاگری‌ها در حالی صورت می‌گیرد که گروه Insikt شرکت Recorded Future گفت که “احیای” فعالیت مرتبط با Predator را مشاهده کرده است، ماه‌ها پس از اینکه دولت آمریکا چندین فرد مرتبط با فروشنده جاسوس‌افزار اسرائیلی Intellexa/Cytrox را تحریم کرد.

این شامل شناسایی سرورهای جدید Tier 1 رو به قربانی، یک مشتری ناشناخته قبلی در موزامبیک، و ارتباطات بین زیرساخت Predator و FoxITech s.r.o.، یک نهاد چک که قبلاً با کنسرسیوم Intellexa مرتبط بود، می‌شود.

در طول دو سال گذشته، اپراتورهای Predator در بیش از دوازده کشور از جمله آنگولا، ارمنستان، بوتسوانا، جمهوری دموکراتیک کنگو، مصر، اندونزی، قزاقستان، مغولستان، موزامبیک، عمان، فیلیپین، عربستان سعودی و ترینیداد و توباگو شناسایی شده‌اند.

شرکت گفت: “این با مشاهده گسترده‌تر که Predator در آفریقا بسیار فعال است، همسو است، به طوری که بیش از نیمی از مشتریان شناسایی شده آن در این قاره قرار دارند. این احتمالاً منعکس‌کننده تقاضای رو به رشد برای ابزارهای جاسوس‌افزار، به‌ویژه در کشورهایی که با محدودیت‌های صادراتی مواجه هستند، نوآوری فنی مداوم در پاسخ به گزارش‌های عمومی و بهبودهای امنیتی، و ساختارهای شرکتی پیچیده‌تر طراحی شده برای جلوگیری از تحریم‌ها و انتساب است.”