Paragon Graphite znów w akcji: kolejny Włoch na celowniku komercyjnego spyware

Wprowadzenie do problemu / definicja luki

Włochy od miesięcy zmagają się z eskalacją nadużyć komercyjnego systemu szpiegującego. Najnowszy przypadek: polityczny doradca Francesco Nicodemo ujawnił, iż został zaatakowany przez Graphite — spyware izraelskiej firmy Paragon. To już piąta zidentyfikowana ofiara we Włoszech w tym łańcuchu inwigilacji, co potwierdza, iż mamy do czynienia nie z incydentem, ale z trendem o charakterze systemowym.

Graphite to „mercenary spyware” klasy rządowej, porównywalny z Pegasus czy Predator, zdolny do pozyskiwania danych z komunikatorów, plików i czujników urządzenia — często bez interakcji ofiary (zero-click). Najnowsze ustalenia badaczy wskazują wykorzystanie błędów dnia zerowego w Apple iMessage.

W skrócie

• Kto i co: doradca polityczny z Włoch został celem Paragon Graphite; to kolejna ofiara w tej samej fali ataków.
• Jak: domniemany zero-click w iMessage na w pełni załatanych iPhone’ach; Citizen Lab potwierdza artefakty i „odciski palców” kampanii Paragon.
• Dlaczego to ważne: przypadki dotyczą dziennikarzy, aktywistów i polityków w Europie; Amnesty nazywa to kryzysem spyware w UE.
• Status we Włoszech: doniesienia o zerwaniu kontraktu z Paragonem ścierają się z rządowym dementi; sprawa ma wymiar polityczny i prawny.

Kontekst / historia / powiązania

Paragon Solutions powstał w 2019 r. w Izraelu; w zespole założycielskim są m.in. byli liderzy wywiadu sygnałowego. Flagowy produkt Graphite był opisywany jako „precyzyjny dostęp” przede wszystkim do komunikatorów (WhatsApp, Signal, iMessage), a nie pełne przejęcie urządzenia — w praktyce daje jednak szerokie możliwości szpiegowskie. W 2025 r. Citizen Lab udokumentował skalę i zasięg operacji Paragon w Europie, zaś media odnotowały ataki na dziennikarzy.

W czerwcu 2025 r. badacze i media opisywali wykorzystywanie zero-click w iMessage do dostarczenia ładunku Graphite; Apple załatało lukę (m.in. CVE-2025-43200). Amnesty Security Lab nazwał to dowodem na „systemowy wzorzec nadużyć” we Włoszech.

Równolegle toczył się spór o kontrakt z rządem Włoch: niektóre doniesienia mówiły o zakończeniu współpracy przez Paragon, podczas gdy przedstawiciele rządu temu zaprzeczali. Sprawą interesowały się media i komisje parlamentarne.

Analiza techniczna / szczegóły luki

Wektor ataku i łańcuch eksploatacji

• Zero-click iMessage: atakujący wysyłają specjalnie spreparowane wiadomości (często niewidoczne dla użytkownika), które wyzwalają łańcuch RCE → sandbox escape → persistence. Ten wektor był aktywnie wykorzystywany przeciw dziennikarzom i działaczom.
• CVE-2025-43200: podatność w komponencie Messages umożliwiająca wykonanie kodu bez interakcji; Apple załatało ją w lutym 2025 r., ale wiele urządzeń mogło być celem przed aktualizacją.

Zdolności Graphite (wybór)

• Eksfiltracja treści z komunikatorów E2EE po stronie końcowej (po odszyfrowaniu na urządzeniu).
• Dostęp do plików, kontaktów, mikrofonu i kamery; śledzenie lokalizacji; mechanizmy ukrywania się. (Opis zbiorczy na podstawie badań i raportów mediów branżowych).

Artefakty i wskaźniki (forensics)

• SMALLPRETZEL — nazwa wskaźnika/artefaktu forensycznego powiązanego z atakami na iOS w kampaniach przypisywanych Paragon/Graphite i potwierdzanych po alertach Apple.
• Nietypowe wpisy w logach iMessage/IMTransferAgent, tymczasowe pliki MIME w ścieżkach cache, anomalie w DataUsage.sqlite (nagłe piki ruchu tuż po niewidocznych wiadomościach). (Wnioski syntetyzowane na bazie publicznych opisów zero-click i metodologii stosowanych przez badaczy).

Praktyczne konsekwencje / ryzyko

• Redakcje, NGO i sztaby polityczne: realne ryzyko kompromitacji źródeł i planów; wycieki metadanych i kontaktów potrafią zniszczyć całe sieci współpracy.
• Użytkownicy iPhone’ów: „bycie na bieżąco z aktualizacjami” nie gwarantuje bezpieczeństwa w modelu zagrożeń z aktorami państwowymi — potrzebne są dodatkowe warstwy i procedury.
• Sfera prawna: kolejne przypadki we Włoszech wzmagają presję na regulacje i przejrzystość kontraktów surveillance-for-hire w UE.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe higieny iOS (UEM/indywidualnie)

• Aktualizacje iOS/iPadOS – wymagaj 48h SLA na wdrożenie poprawek bezpieczeństwa; w polityce MDM wymuś min. wersję po lutym 2025 r. (załatanie CVE-2025-43200).
• Lockdown Mode dla profili wysokiego ryzyka (dziennikarze, prawnicy, aktywiści).
• Ograniczenie iMessage: w MDM → wyłącz dla urządzeń high-risk albo wymuś tylko kontakty z allowlisty.

2) Detekcja i triage (narzędzia open-source)

• MVT (Mobile Verification Toolkit) — podstawowy zestaw do artefaktów po atakach zero-click na iOS. # 1) Przygotuj niezaszyfrowaną kopię zapasową (macOS Finder/iTunes) mvt-ios check-backup --output /tmp/mvt_out --csv --iocs iocs/paragon_graphite_indicators.json /path/to/ios_backup # 2) Analiza logów sysdiagnose (jeśli dostępne) mvt-ios check-syslog --output /tmp/mvt_sys --iocs iocs/paragon_graphite_indicators.json /path/to/sysdiagnose_logs # 3) Korelacja anomalii transferów danych mvt-ios check-backup --only DataUsage.sqlite --output /tmp/mvt_datausage /path/to/ios_backup W iocs/paragon_graphite_indicators.json umieść znane wzorce (m.in. ciągi i domeny z publikacji o Graphite). W dokumentacji MVT uwzględnij artefakt pokrewny SMALLPRETZEL jako „clue” do manualnego przeglądu. (na podstawie metodologii z raportów o Graphite/zero-click).
• Segmentacja anomalii ruchu (proxy/DNS sinkhole na poziomie MDM lub prywatnego relay): # Przykład prostego filtra dnsmasq do fazy triage address=/icloud-content-cache[.]example/0.0.0.0 address=/unknown-imessage-mms-cdn[.]example/0.0.0.0 # Uwaga: uzupełnij o realne IoC z bieżących raportów; testuj A/B by uniknąć false positives.

3) Reagowanie i odtwarzanie zaufania

• Zamrożenie środowiska: izoluj urządzenie w Faraday bag, wykonaj pełen backup i nie uruchamiaj ponownie przed zrobieniem obrazu.
• Rotacja tożsamości: wymuś zmianę Apple ID, haseł do komunikatorów, re-provision kluczy E2EE (np. Signal Registration Lock).
• „Device burn” w przypadku wysokiej pewności kompromitacji: nowe urządzenie, nowe Apple ID, restrykcyjny profil MDM, wymiana kart SIM/eSIM.
• Komunikacja awaryjna: czasowo przejdź na urządzenia o ograniczonej powierzchni ataku (feature phone / „sterile” iPhone z Lockdown Mode).

4) Polityki organizacyjne

• Modelowanie zagrożeń osobowych: matryca ról i ryzyka (redaktor naczelny ≠ reporter terenowy ≠ prawnik).
• Dwu-ścieżkowe patch management: „rapid ring” dla kont wysokiego ryzyka; „stable ring” dla reszty.
• Program „canary”: minimum jedno urządzenie-przynęta z telemetryką rozszerzoną i stałym monitoringiem anomalii iMessage.

Różnice / porównania z innymi przypadkami (Pegasus, Predator)

• Wektor: Graphite i Pegasus częściej korzystają z zero-click iMessage; Predator częściej obserwowano z łańcuchem „one-click” (link/SMS), choć nie wyłącznie.
• Deklarowany „etyczny” marketing: Paragon kreował się jako „bardziej odpowiedzialny” dostawca — co kłóci się z realnymi przypadkami celowania w dziennikarzy/NGO, podnoszonymi przez badaczy i organizacje praw człowieka.
• Kontekst prawny w IT: we Włoszech debata publiczna i spór dot. kontraktów z Paragonem są bardziej widoczne niż w wielu innych państwach UE — dodatkowo nagłośnione przez media i śledztwa parlamentarne.

Podsumowanie / najważniejsze wnioski

• Kolejna ofiara Graphite we Włoszech potwierdza utrwalony wzorzec nadużyć komercyjnego spyware w UE.
• iMessage zero-click pozostaje jednym z najgroźniejszych wektorów na iOS; sama aktualizacja to za mało dla ról wysokiego ryzyka — potrzebny Lockdown Mode, twarde polityki MDM i stały triage artefaktów.
• Organizacje muszą traktować telefony jako cele strategiczne, wdrażając procedury „burn/rotate” i kanały awaryjne.
• Spór o kontrakty i przejrzystość pokazuje, iż governance jest równie ważne co technologia.

Źródła / bibliografia

1. Security Affairs: A new Italian citizen was targeted with Paragon’s Graphite spyware (08–09.11.2025). (Security Affairs)
2. Citizen Lab (19.03.2025): A first look at Paragon’s proliferating spyware operations. (The Citizen Lab)
3. Citizen Lab (12.06.2025): First forensic confirmation… (artefakt SMALLPRETZEL). (The Citizen Lab)
4. The Hacker News / Quorum Cyber (czerwiec 2025): zero-click w iMessage, CVE-2025-43200. (The Hacker News)
5. Amnesty Security Lab / Amnesty International (marzec–czerwiec 2025): komentarze nt. kryzysu spyware w Europie i przypadków we Włoszech. (Amnesty International)
6. Guardian / Reuters (2025): spór o kontrakt Paragon–rząd Włoch, ataki na dziennikarzy. (The Guardian)