Apple ha revelado que los defectos de seguridad actualmente parcheados presentes en las aplicaciones de mensajería se explotan activamente en la naturaleza para atacar a los miembros de la sociedad civil en ataques cibernéticos sofisticados.
La vulnerabilidad rastreada como CVE-2025-43200 se abordó el 10 de febrero de 2025 como parte de iOS 18.3.1, iPados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, MacOS Sonoma 14.7.4, Macos Ventura 13.7.4, Watchos 11.3.1 y Visions 2.1.1.1.1.4, 4, 4.4.4.4.7.4, Watchos 11.3.1 y Visions 2.1.1.1.1.4, 4, 4.4.4.4.7.4, Watchos 11.3.1 y Visions 2.1.1.1.1.4, 4, 4.4.4.4.7.4, Watchos 11.3.1 y Visions 2.1.1.1.1.4, 4, 4. MacOS Socona 14.7.4, y MacOS Socona 14.7.4.
«Hubo un problema lógico cuando se trata de fotos o videos maliciosos compartidos a través de enlaces de iCloud», dijo la compañía en su aviso, y agregó que la vulnerabilidad se abordó con mejoras mejoradas.
El fabricante de iPhone también reconoció que la vulnerabilidad podría haber sido «explotada en un ataque altamente sofisticado, especialmente en individuos específicos».
Vale la pena señalar que iOS 18.3.1, iPados 18.3.1 y las actualizaciones de iPados 17.7.5 también resolvieron otro día cero utilizado activamente rastreado como CVE-2025-24200. Actualmente, actualmente se desconoce por qué Apple decidió no revelar la existencia de este defecto.
Si bien Apple no compartió detalles de la naturaleza del ataque que armó CVE-2025-43200, dijo que Citizen Lab había desenterrado evidencia forense de que se dirigió a los periodistas italianos Ciro Pellegrino y a los prominentes periodistas europeos, y al periodista italiano Ciro Pellegrino y a los destacados periodistas europeos a infectar en el spywware grafito de Paragon.
El centro de investigación interdisciplinario describió el ataque como cero clics. Esto significa que las vulnerabilidades se pueden activar en el dispositivo de destino sin la necesidad de la interacción del usuario.
«Uno de los dispositivos periodistas se vio comprometido con el spyware de grafito de Paragon de enero a principios de febrero de 2025 mientras ejecutaba iOS 18.2.1», dijeron Bill Malzak y John Scott Railton. «Creo que esta infección no fue visible como objetivo».
Apple notificó a ambos individuos el 29 de abril de 2025 que fueron atacados con un spyware avanzado. A partir de noviembre de 2021, Apple comenzó a enviar notificaciones de amenazas para alertar a los usuarios sospechosos de ser atacados por atacantes patrocinados por el estado.
El grafito es una herramienta de vigilancia desarrollada por el actor de ataque del sector privado israelí (PSOA) Paragon. Acceda a mensajes, correos electrónicos, cámaras, micrófonos y datos de ubicación sin acciones del usuario, lo que dificulta la detección y la prevención. Spyware generalmente es implementado por clientes gubernamentales bajo la apariencia de una investigación de seguridad nacional.
Citizen Lab dijo que dos periodistas implementaron herramientas de grafito enviando iMessages de la misma cuenta de Apple (con nombre en código «atacante1») que indican que la cuenta podría haber sido utilizada por un solo cliente de Paragon y usado por el objetivo.
El desarrollo es el último giro en un escándalo que estalló en enero cuando ocurrió WhatsApp de meta, que se había lanzado a WhatsApp de meta, se había lanzado a docenas de usuarios de todo el mundo, incluido el colega de Pellegrino, Francesco Cancellato. En general, un total de siete han sido identificados públicamente como víctimas de la orientación e infección de Paragon hasta ahora.
A principios de esta semana, el fabricante de spyware israelí dijo que había terminado su contrato con Italia y se negó a dejar que el gobierno confirme independientemente que las autoridades italianas no habían entrado en los teléfonos de los periodistas de investigación.
«La compañía ha proporcionado tanto al gobierno italiano como al Parlamento una forma de determinar si se estaba utilizando contra los periodistas en violación de la ley italiana y los términos de contrato», dijo en un comunicado a Haaretz.
Sin embargo, el gobierno italiano dijo que la decisión fue mutua y rechazó la oferta debido a preocupaciones de seguridad nacional.
En un informe publicado la semana pasada, el Comité Parlamentario de Seguridad de la República (COPASIR) confirmó que la agencia de inteligencia extranjera y nacional italiana utilizará Graphite para dirigirse a un número limitado de teléfonos móviles después de la aprobación legal necesaria.
Copasir agregó que Spyware se usaba para buscar fugitivos, inmigración ilegal, sospecha de terrorismo, delitos organizados, contrabando de combustible y anti-escasez y actividades de seguridad interna. Sin embargo, aunque dijo que ningún teléfono perteneciente a Cancerato se encontraba entre las víctimas, dejó una pregunta importante sobre quién atacó a los periodistas a los no respondidos.
Sin embargo, este informe arroja luz sobre cómo funciona la infraestructura de spyware de Paragon en segundo plano. Dijo que los operadores deben iniciar sesión con su nombre de usuario y contraseña para usar grafito. Cada implementación de Spyware se encuentra en un servidor controlado por el cliente y genera registros detallados a los que Paragon no puede acceder.
«La falta de responsabilidad disponible para estos objetivos de spyware subraya en la medida en que los periodistas europeos continúan expuestos a esta amenaza digital altamente invasiva, destacando los peligros de la propagación y el abuso de Spyware», dijo el Instituto de Investigación Cívica.
La Unión Europea ha planteado preocupaciones sobre el uso no identificado del spyware comercial, que exige controles de exportación más fuertes y medidas de protección legal. Estos casos recientes podrían intensificar las presiones de reforma regulatoria tanto a nivel nacional como de la UE.
El sistema de notificación de amenazas de Apple se basa en la inteligencia de amenazas interna y es posible que no pueda detectar todas las instancias de orientación. La compañía señaló que tales advertencias no confirman las infecciones activas, pero indica que se ha observado una actividad anormal consistente con los ataques dirigidos.
El regreso del depredador
La última revelación ocurrió en la que un grupo Insikt futuro registrado declaró que se observó un «renacimiento» de la actividad relacionada con los depredadores varios meses después de que el gobierno de los Estados Unidos aprobó varias personas vinculadas al proveedor de software espía israelí Intelexa/Cytrox.
Esto incluye la identificación de un nuevo servidor de nivel de víctima, un cliente previamente desconocido en Mozambique y su relación con Foxitech SRO con Infraestructura de Predator, una entidad checa previamente asociada con el consorcio Intelexa.
Durante los últimos dos años, los operadores de depredadores han marcado más de 12 condados, incluidos Angola, Armenia, Botswana, la República Democrática del Congo, Egipto, Indonesia, Kazajstán, Mongolia, Mozambique, Omán, Filipinas, Arabia Saudita, Trinidad y Trinidad.
«Esto está en línea con la observación más amplia de que los depredadores son muy activos en África y que más de la mitad de los clientes identificados se encuentran en el continente», dijo la compañía.
«Esto podría reflejar una creciente demanda de herramientas de spyware, innovación continua en respuesta a informes públicos y una mayor seguridad, y una estructura corporativa cada vez más compleja diseñada para prevenir sanciones y atribuciones, particularmente en los países que enfrentan restricciones de exportación».
Source link
