Un altro Zeroclick per IPhone corretto. Ma il mercato degli Spyware è sempre più florido che mai

Apple ha corretto una vulnerabilità critica, utilizzata per sferrare attacchi Zero Click contro giornalisti in Europa. L’errore permetteva di infettare i dispositivi senza l’interazione dell’utente: era sufficiente ricevere un messaggio appositamente preparato tramite iCloud Link. I dettagli dell’attacco, i suoi meccanismi e le sue conseguenze sono stati svelati dagli specialisti di Citizen Lab, che hanno condotto un’indagine forense sulle conseguenze di attacchi reali.

La vulnerabilità, identificata come CVE-2025-43200, è stata risolta il 10 febbraio 2025, negli aggiornamenti iOS 18.3.1 .  , iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 e visionOS 2.3.1. Secondo Apple, il problema è stato causato da un errore logico nell’elaborazione di foto o video inviati tramite link iCloud. Per risolverlo, l’azienda ha implementato controlli aggiuntivi.

Apple ha confermato ufficialmente che la vulnerabilità è stata sfruttata in un “attacco altamente sofisticato” contro individui specifici. Sebbene i dettagli dell’attacco in sé non siano stati divulgati nella notifica, l’analisi di Citizen Lab ha dimostrato che la falla è stata sfruttata per infettare gli iPhone di due giornalisti.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I dispositivi hackerati erano dotati di Graphite, uno strumento di sorveglianza avanzato sviluppato dall’azienda israeliana Paragon. Questo modulo spyware consente l’accesso remoto a messaggi, e-mail, microfono, fotocamera e posizione del dispositivo. Il suo utilizzo è solitamente limitato alle agenzie governative ed è ufficialmente considerato uno strumento per combattere la criminalità e le minacce alla sicurezza nazionale.

Citizen Lab ha scoperto che entrambi i giornalisti sono stati infettati dallo stesso account Apple, denominato “ATTACKER1“, il che indica che entrambi gli attacchi provenivano dallo stesso client Paragon. Le notifiche di Apple relative agli attacchi spyware sono state inviate alle vittime il 29 aprile 2025. Il sistema di allerta di Apple, in vigore dal 2021, avvisa gli utenti della potenziale esposizione a operatori governativi, ma non garantisce un’infezione effettiva.

Ciò che è ancora più allarmante è che Apple ha risolto contemporaneamente un’altra vulnerabilità, il CVE-2025-24200, anch’essa sfruttata in attacchi attivi. L’azienda ha segnalato questo bug solo qualche tempo dopo, senza specificare il motivo del ritardo. L’incidente è strettamente legato a un altro scandalo scoppiato a gennaio, quando Meta ha denunciato che Graphite era stato utilizzato per attaccare decine di utenti WhatsApp in tutto il mondo. Tra le vittime c’era anche il giornalista Francesco Cancellato, collega di Ciro Pellegrino. Questo porta il numero totale delle vittime note di Graphite a sette.

In mezzo alla controversia, la Commissione parlamentare per la sicurezza (COPASIR) ha pubblicato un rapporto in cui ha riconosciuto che le agenzie di intelligence italiane avevano effettivamente utilizzato Graphite per la sorveglianza mirata, ma solo nel rispetto della legge e dopo aver ottenuto tutte le autorizzazioni necessarie. Secondo la commissione, il programma era utilizzato per combattere il terrorismo, la criminalità organizzata, l’immigrazione clandestina, il contrabbando di carburante, lo spionaggio e i latitanti. Tuttavia, il dispositivo di Cancellato, come affermato nel documento, non era tra gli obiettivi, lasciando aperta la questione della vera fonte della sorveglianza.

Il rapporto rivela anche il funzionamento interno di Graphite. Per utilizzare lo spyware, un operatore deve accedere con nome utente e password. Ogni sessione viene registrata su un server gestito dal client: è il client, non Paragon, a controllare l’archiviazione e l’accesso ai registri delle attività. Ciò significa che l’utente finale può utilizzare Graphite in completa autonomia, senza controllo o monitoraggio esterno.

Citizen Lab ha sottolineato ancora una volta che tali incidenti dimostrano quanto i giornalisti rimangano vulnerabili agli strumenti commerciali di sorveglianza digitale. La difficoltà di rilevamento, la mancanza di procedure trasparenti e la possibilità di infezioni senza contatto rendono tali attacchi particolarmente pericolosi. La situazione dimostra chiaramente quanto sia urgente rafforzare il controllo internazionale e la regolamentazione giuridica nel campo della sorveglianza digitale.

Nel frattempo, un nuovo vettore di minaccia si sta sviluppando nel cyberspazio. Insikt Group di Recorded Future ha rilevato una ripresa dell’attività di un altro spyware israeliano, Predator, creato da Intellexa/Cytrox. A seguito delle sanzioni statunitensi, gli sviluppatori hanno modificato la propria infrastruttura e sono tornati in azione. I ricercatori hanno identificato nuovi server di livello 1 che indicano infezioni in Mozambico, nonché un collegamento con l’azienda ceca FoxITech sro, precedentemente affiliata al consorzio Intellexa.

Predator è stato utilizzato in più di una dozzina di paesi negli ultimi due anni, tra cui Angola, Armenia, Egitto, Indonesia, Mongolia, Arabia Saudita e Filippine. Più della metà dei clienti noti del programma si trova in Africa. Gli analisti affermano che l’impennata di attività è dovuta all’elevata domanda nei paesi soggetti a restrizioni all’esportazione, nonché all’utilizzo di strutture aziendali complesse che rendono difficile rintracciare l’origine e l’utente finale.

Gli esperti sottolineano che l’emergere di nuove infezioni, parallelamente agli attacchi con Graphite, evidenzia la portata della minaccia. Dispositivi, dati e privacy possono essere monitorati senza notifiche, mandati o segnali evidenti. La sorveglianza digitale sta diventando uno strumento privo di feedback e di controllo esterno.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.