Un’introduzione a Paragon Solutions.
Paragon Solutions è stata fondata in Israele nel 2019 e vende uno spyware chiamato Graphite. L’azienda si descrive come diversa dagli altri produttori, affermando di disporre di salvaguardie per prevenire i tipi di abusi di spyware per cui NSO Group e altri fornitori sono noti.
Analisi dell’infrastruttura dello spyware Paragon.
Sulla base di una segnalazione di un collaboratore, abbiamo mappato l’infrastruttura dei server che attribuiamo allo strumento spyware Graphite di Paragon. Abbiamo identificato un sottoinsieme di installazioni sospette di Paragon, tra cui Australia, Canada, Cipro, Danimarca, Israele e Singapore.
Identificazione di un possibile cliente canadese di Paragon.
La nostra indagine ha fatto emergere potenziali legami tra Paragon Solutions e la polizia provinciale canadese dell’Ontario e ha trovato prove del crescente sviluppo di un ecosistema di funzionalità spyware tra i servizi di polizia dell’Ontario.
Un aiuto a WhatsApp nel bloccare uno Zero-Click.
Abbiamo condiviso la nostra analisi dell’infrastruttura di Paragon con Meta, la quale ci ha detto che i dettagli erano fondamentali per la loro indagine in corso su Paragon. WhatsApp ha scoperto e mitigato un exploit zero-click attivo di Paragon e in seguito ha informato oltre 90 persone che riteneva fossero state prese di mira, tra cui membri della società civile in Italia.
Analisi forense di Android: Cluster italiano.
Abbiamo analizzato in modo forense diversi telefoni Android appartenenti a obiettivi di Paragon in Italia (un Paese confermato come cliente di Paragon) che sono stati avvisati da WhatsApp. Abbiamo trovato chiare indicazioni che lo spyware era stato caricato all’interno di WhatsApp e in altre applicazioni sui loro dispositivi.
Un caso correlato di spyware per iPhone in Italia.
Abbiamo analizzato l’iPhone di una persona che lavorava a stretto contatto con obiettivi di Paragon confermati su dispositivi Android . Questa persona ha ricevuto un avvertimento da Apple per una possibile minaccia digitale nel novembre 2024, ma nessuna notifica WhatsApp. La nostra analisi ha evidenziato un tentativo di infettare il dispositivo con un nuovo spyware nel giugno 2024. Abbiamo condiviso i dettagli con Apple, che ci ha confermato di aver applicato una patch all’attacco in iOS 18.
Altre tecnologie di sorveglianza impiegate contro lo stesso cluster italiano.
Notiamo anche avvisi del 2024 inviati da Meta a diverse persone facenti parte dello stesso network organizzativo già osservato, tra cui una vittima di Paragon. Ciò suggerisce la necessità di un ulteriore esame di altre tecnologie di sorveglianza impiegate contro questi individui.