Los investigadores de Citizen Lab, el prestigioso laboratorio canadiense de ciberseguridad, han revelado detalles alarmantes sobre una sofisticada campa帽a de ciberespionaje que comprometi贸 dispositivos iPhone ejecutando iOS 18.2.1. El ataque utiliz贸 el spyware Graphite, desarrollado por la empresa israel铆 Paragon Solutions, explotando una vulnerabilidad zero-day previamente desconocida para infiltrarse en los dispositivos de periodistas europeos.
Campa帽a de Espionaje Dirigida Contra Medios de Comunicaci贸n
La investigaci贸n document贸 ataques espec铆ficos contra dos profesionales de la comunicaci贸n: un corresponsal europeo cuya identidad permanece protegida y Ciro Pellegrino, periodista del medio italiano Fanpage.it. El an谩lisis forense de los dispositivos comprometidos revel贸 conexiones a un servidor de comando y control id茅ntico, confirmando la naturaleza coordinada de esta operaci贸n de ciberespionaje.
Lo m谩s preocupante del caso es el tiempo transcurrido entre el ataque inicial, ocurrido a principios de 2025, y la notificaci贸n a las v铆ctimas el 29 de abril, cuando Apple les envi贸 alertas oficiales sobre la presencia de 芦software esp铆a avanzado禄 en sus dispositivos.
An谩lisis T茅cnico de la Vulnerabilidad CVE-2025-43200
El vector de ataque se bas贸 en la explotaci贸n de CVE-2025-43200, una vulnerabilidad cr铆tica que afectaba el procesamiento de contenido multimedia en iOS. Los ciberdelincuentes utilizaron iMessage como canal de distribuci贸n del payload malicioso, enviando mensajes especialmente dise帽ados desde cuentas controladas por los atacantes.
La sofisticaci贸n t茅cnica del ataque radicaba en su capacidad de ejecutar c贸digo remoto sin requerir interacci贸n del usuario. Los mensajes maliciosos explotaban una falla l贸gica en el manejo de contenido multimedia transmitido a trav茅s de iCloud Link, permitiendo la instalaci贸n silenciosa del spyware Graphite.
Infraestructura de Comando y Control
Una vez establecido en el dispositivo objetivo, Graphite iniciaba comunicaciones con su infraestructura de comando y control. El an谩lisis del tr谩fico de red identific贸 conexiones al servidor 46.183.184.91, una direcci贸n IP que los investigadores vincularon directamente con la infraestructura operativa de Paragon Solutions.
Respuesta de Apple y Medidas Correctivas
Apple abord贸 la vulnerabilidad mediante el lanzamiento de iOS 18.3.1 en febrero de 2025. El bolet铆n de seguridad oficial describi贸 el problema como 芦una falla l贸gica en el procesamiento de fotograf铆as o videos maliciosos transmitidos mediante iCloud Link禄. Resulta significativo que el identificador CVE correspondiente fue asignado oficialmente solo la semana pasada, evidenciando los complejos procesos de divulgaci贸n responsable en vulnerabilidades de alto impacto.
Perfil Corporativo de Paragon Solutions
Paragon Solutions Ltd. emergi贸 en el panorama de ciberseguridad en 2019, posicion谩ndose como proveedor especializado de herramientas de cibervigilancia para agencias gubernamentales y organismos de seguridad de naciones democr谩ticas. La compa帽铆a fue adquirida en diciembre de 2024 por AE Industrial Partners, un fondo de inversi贸n estadounidense con sede en Florida.
A diferencia de NSO Group, conocida por m煤ltiples controversias, Paragon ha mantenido un perfil m谩s discreto, alegando pol铆ticas estrictas de venta que supuestamente limitan el uso de sus productos a la persecuci贸n de criminales peligrosos. Sin embargo, este incidente plantea interrogantes sobre la efectividad de tales controles.
Vectores de Ataque Adicionales y Expansi贸n de Amenazas
La investigaci贸n tambi茅n document贸 el uso de Graphite a trav茅s de otros canales de distribuci贸n. Durante la primavera de 2025, WhatsApp corrigi贸 una vulnerabilidad zero-day similar que hab铆a sido explotada para la instalaci贸n del mismo spyware en dispositivos objetivo.
Este incidente subraya la importancia cr铆tica de mantener actualizados los sistemas operativos m贸viles y demuestra la creciente sofisticaci贸n de las amenazas dirigidas contra la plataforma iOS. Los profesionales de seguridad recomiendan la instalaci贸n inmediata de todas las actualizaciones de seguridad disponibles y el ejercicio de extrema precauci贸n al interactuar con mensajes sospechosos, incluso aquellos aparentemente provenientes de contactos conocidos.
