Con la pubblicazione del secondo rapporto tecnico da parte di Citizen Lab, è emersa per la prima volta una prova forense diretta dell’impiego dello spyware Graphite, sviluppato dalla società israeliana Paragon Solutions, per spiare i cellulari di almeno due giornalisti europei, di cui uno appartenente alla testata italiana Fanpage, Ciro Pellegrino.
Italia spiata: svelata la rete dello spyware Paragon Graphite
Indice degli argomenti
Giornalisti spiati con Graphite: la prova definitiva
La conferma arriva da un’analisi avanzata sui dispositivi compromessi, condotta con tecniche riconosciute a livello internazionale, che ha permesso di ricostruire l’infrastruttura di comando e controllo utilizzata nell’attacco e di attribuirla con elevato grado di confidenza a un cliente di Paragon. L’infezione è avvenuta attraverso tecniche zero-click, senza alcuna interazione dell’utente.
La notizia assume particolare rilevanza per il settore della cybersecurity in quanto dimostra come le tecniche di compromissione stiano evolvendo verso approcci estremamente sofisticati e invisibili, che riducono significativamente la possibilità di intercettazione o prevenzione lato utente. L’infezione zero-click, in particolare, sfrutta vulnerabilità presenti nei sistemi di messaggistica (come iMessage su dispositivi Apple) e non richiede alcuna interazione da parte del bersaglio.
Il nuovo report Citizen Lab: aspetto tecnico dello spionaggio con Paragon Graphite
L’elemento tecnico centrale del nuovo rapporto è la correlazione fra le tracce software rilevate nei dispositivi infetti e l’infrastruttura server controllata da Paragon. Citizen Lab ha identificato un payload coerente con lo spyware Graphite, associato a un server di comando che presentava la stessa firma precedentemente osservata in casi analoghi.
L’analisi forense ha anche permesso di ricostruire le modalità operative dell’attacco, che si è avvalso di un exploit zero-click distribuito tramite iMessage, senza necessità di alcuna interazione da parte della vittima. Dal punto di vista tecnico, le tracce lasciate da Graphite includono l’utilizzo di server di controllo legati a domini già mappati in precedenza da Citizen Lab in altri contesti di indagine. I ricercatori hanno rintracciato l’attività su un server di comando associato al dispositivo di un giornalista europeo, definito nel report come CASE1, e al dispositivo del giornalista italiano Ciro Pellegrino. L’uso di un’infrastruttura condivisa e l’esistenza di uno stesso payload identificabile suggeriscono un attacco coordinato e pianificato con precisione.
Vulnerabilità zero day
La catena d’infezione di Graphite evidenzia un livello di complessità elevatissimo: il malware sfrutta una vulnerabilità zero-day in iMessage per eseguire codice da remoto tramite una semplice notifica push invisibile, attivando un primo payload in memoria che comunica con un server C2 per scaricare moduli successivi. Secondo Citizen Lab, il sistema adotta tecniche di persistence selettiva, disinstallandosi automaticamente in caso di inattività o rilevamento. Inoltre, Graphite è in grado di accedere a microfono, fotocamera, contenuti cifrati e credenziali: queste caratteristiche lo pongono tra gli strumenti più sofisticati attualmente sul mercato mercenario della sorveglianza digitale.
L’alert
Uno degli aspetti più interessanti in ottica cyber riguarda la modalità con cui sono state rilevate le compromissioni: in almeno due casi, gli utenti colpiti avevano ricevuto un alert preventivo da parte di Apple. Tali avvisi, parte di un sistema di notifica per potenziali bersagli di minacce persistenti avanzate (APT), si sono dimostrati attendibili. La successiva analisi tecnica di Citizen Lab ha confermato retroattivamente la validità dell’allerta, rafforzando l’importanza della cooperazione tra fornitori di servizi digitali e comunità di ricerca per la tutela dei diritti digitali.
Come ha reagito l’Italia allo spionaggio Graphite sui giornalisti
Dal punto di vista istituzionale, l’Italia ha dimostrato sensibilità sul tema, sospendendo e successivamente rescindendo il contratto con Paragon in data 14 febbraio 2025, come riportato nella relazione ufficiale della Commissione parlamentare per la sicurezza della Repubblica (Copasir). Le decisioni adottate riflettono una visione strategica coerente con i principi del rispetto della legalità e della tutela dei diritti fondamentali, in un contesto normativo e geopolitico in rapida evoluzione.
L’Agenzia per la Cybersicurezza Nazionale (ACN) continua a lavorare attivamente nel contrasto a minacce complesse come gli spyware mercenari, promuovendo sia l’adozione di misure tecniche avanzate sia lo sviluppo di una cultura della sicurezza cibernetica presso enti pubblici e soggetti privati. In parallelo, a livello europeo, la Commissione UE ha riaffermato l’importanza del rispetto del diritto comunitario in materia di protezione dei dati, sottolineando l’intenzione di utilizzare tutti gli strumenti normativi a disposizione per prevenire e contrastare condotte lesive nei confronti di cittadini e operatori dell’informazione.
Tecniche zero click, pilastro della sorveglianza globale
Le implicazioni di quanto emerso sono molteplici. Innanzitutto, si rafforza l’evidenza che le tecniche zero-click rappresentano una delle principali sfide del futuro prossimo in ambito cyber. La loro rilevazione è estremamente complessa, richiedendo competenze forensi avanzate, accesso ai dispositivi e un livello di analisi che solo poche strutture al mondo sono in grado di garantire. Si tratta dunque di minacce il cui contenimento non può prescindere dalla cooperazione internazionale e dalla messa in comune di competenze e risorse.
Servono regole
In secondo luogo, l’uso di strumenti di sorveglianza digitale in contesti non bellici e contro soggetti civili evidenzia l’importanza di definire regole chiare a livello sovranazionale, anche rispetto ai limiti d’uso e alla trasparenza degli operatori privati che sviluppano tali tecnologie. Il caso in esame rientra nel quadro più ampio dell’attività normativa europea, che include l’EU Media Freedom Act e le proposte legislative sul contrasto agli spyware mercenari.
Infine, è opportuno sottolineare come la gestione del caso abbia confermato la capacità del sistema Paese di affrontare situazioni complesse con equilibrio, trasparenza e tempestività. Le misure adottate a livello governativo, la collaborazione con attori internazionali e la volontà di fare chiarezza anche su aspetti tecnicamente delicati sono segnali positivi che rafforzano la fiducia nelle istituzioni e nel sistema di cybersicurezza nazionale.
Il caso Paragon, nelle sue evoluzioni più recenti, rappresenta dunque un importante punto di osservazione sulle nuove minacce informatiche, ma anche un’opportunità per consolidare strumenti, policy e best practice condivise. Il lavoro dei ricercatori, il ruolo dei fornitori di servizi tecnologici e l’azione coerente delle istituzioni dimostrano come sia possibile affrontare con determinazione e competenza le sfide di un ecosistema digitale in continua trasformazione.
