Cybersecurity-Forscher des renommierten Citizen Lab haben eine hochentwickelte Spyware-Kampagne aufgedeckt, die eine bisher unbekannte Zero-Day-Schwachstelle in iOS 18.2.1 ausnutzte. Die Attacke, durchgeführt mit der Graphite-Spyware der israelischen Firma Paragon Solutions, richtete sich gezielt gegen Journalisten und demonstriert die wachsende Bedrohung durch staatlich unterstützte Überwachungstechnologien.
Koordinierter Angriff auf Medienvertreter
Die Cyberattacke betraf zwei Journalisten: einen anonymen europäischen Korrespondenten und Ciro Pellegrino vom italienischen Nachrichtenportal Fanpage.it. Forensische Analysen der kompromittierten Geräte offenbarten, dass beide iPhones mit demselben Command-and-Control-Server kommunizierten, was auf eine koordinierte und professionell durchgeführte Operation hinweist.
Besonders bemerkenswert ist der Zeitrahmen der Attacke: Während die Kompromittierung bereits Anfang 2025 erfolgte, erhielten die Betroffenen erst am 29. April offizielle Warnmeldungen von Apple über die Infiltration ihrer Geräte durch „fortgeschrittene Spyware“.
Technische Details der CVE-2025-43200 Ausnutzung
Im Zentrum des Angriffs stand die kritische Sicherheitslücke CVE-2025-43200, eine Zero-Day-Vulnerabilität im iOS-System. Die Angreifer nutzten iMessage als primären Angriffsvektor und sendeten speziell präparierte Nachrichten von separaten Accounts aus.
Der Exploit zielte auf einen logischen Fehler in der Verarbeitung von Multimedia-Inhalten ab, die über iCloud Link übertragen wurden. Diese Schwachstelle ermöglichte es den Angreifern, ohne jegliche Benutzerinteraktion Remote-Code-Execution zu erreichen – ein sogenannter „Zero-Click-Exploit“.
Command-and-Control-Infrastruktur
Nach erfolgreicher Infiltration etablierte die Graphite-Spyware eine Verbindung zu einem VPS-Server unter der IP-Adresse 46.183.184.91. Netzwerkanalysen der Citizen Lab-Forscher konnten diese Infrastruktur direkt mit Paragon Solutions in Verbindung bringen, was die Herkunft der Malware eindeutig identifiziert.
Apples Sicherheitsreaktion und Patch-Management
Apple reagierte mit der Veröffentlichung von iOS 18.3.1 im Februar 2025 auf die entdeckte Bedrohung. Das Sicherheitsbulletin beschreibt die Schwachstelle als „logisches Problem bei der Verarbeitung bösartiger Fotos oder Videos, die über iCloud Link übertragen werden“. Auffällig ist, dass die entsprechende CVE-Kennung erst in der vergangenen Woche offiziell dokumentiert wurde.
Paragon Solutions: Hintergründe des Spyware-Entwicklers
Paragon Solutions Ltd. wurde 2019 gegründet und vermarktet seine Überwachungstools ausschließlich an Strafverfolgungsbehörden und Geheimdienste demokratischer Staaten. Im Dezember 2024 erfolgte die Übernahme durch die US-amerikanische Investmentgruppe AE Industrial Partners.
Im Gegensatz zur kontroversen NSO Group betont Paragon eine restriktive Verkaufspolitik, die den Einsatz ihrer Produkte auf die Bekämpfung schwerer Verbrechen beschränken soll. Der aktuelle Vorfall mit Angriffen auf Journalisten stellt jedoch die Wirksamkeit solcher Beschränkungen grundsätzlich in Frage.
Erweiterte Angriffsvektoren und WhatsApp-Kompromittierung
Die Untersuchung enthüllte weitere Angriffsmethoden der Graphite-Spyware. Im Frühjahr 2025 wurde eine vergleichbare Zero-Day-Schwachstelle in WhatsApp geschlossen, die ebenfalls zur Installation der Überwachungssoftware auf Zielgeräten ausgenutzt wurde.
Diese Entwicklungen unterstreichen die kritische Bedeutung zeitnaher Sicherheitsupdates für mobile Betriebssysteme. Anwender sollten verfügbare Patches unverzüglich installieren und bei verdächtigen Nachrichten in Messaging-Diensten erhöhte Vorsicht walten lassen – selbst wenn diese scheinbar von bekannten Kontakten stammen. Die zunehmende Sophistizierung von iOS-Angriffen erfordert ein verstärktes Bewusstsein für moderne Cyber-Bedrohungen.
