Incidentes Asociados
WhatsApp ha corregido una vulnerabilidad de día cero que se utilizaba para instalar el software espía Graphite de Paragon, tras los informes de investigadores de seguridad del Citizen Lab de la Universidad de Toronto.
La compañía abordó el vector de ataque a finales del año pasado "sin necesidad de una solución del lado del cliente" y decidió no asignar un CVE-ID tras "revisar las directrices CVE publicadas por MITRE y sus propias políticas internas".
"WhatsApp ha desmantelado una campaña de spyware de Paragon dirigida a varios usuarios, incluyendo periodistas y miembros de la sociedad civil. Nos hemos puesto en contacto directamente con las personas que creemos que se vieron afectadas", declaró un portavoz de WhatsApp a BleepingComputer.
"Este es el último ejemplo de por qué las empresas de spyware deben rendir cuentas por sus acciones ilegales. WhatsApp seguirá protegiendo la comunicación privada de las personas".
El 31 de enero, tras mitigar el exploit de clic cero empleado en estos ataques, WhatsApp notificó a aproximadamente 90 usuarios de Android de más de dos docenas de países, incluyendo periodistas italianos](https://www.fanpage.it/attualita/giornalisti-presi-di-mira-dallo-spyware-israeliano-paragon-spiato-anche-il-direttore-di-fanpage-it/) y activistas, atacados con el software espía Paragon para recopilar datos confidenciales e interceptar sus comunicaciones privadas.
Citizen Lab descubrió que los atacantes añadieron a las víctimas a un grupo de WhatsApp antes de enviarles un PDF. En la siguiente etapa del ataque, el dispositivo de la víctima procesó automáticamente el PDF, explotando la vulnerabilidad de día cero, ahora parcheada, para instalar un implante de spyware Graphite en WhatsApp.
Posteriormente, el implante comprometió otras aplicaciones en los dispositivos afectados al escapar del entorno protegido de Android. Una vez instalado, el spyware proporciona a sus operadores acceso a las aplicaciones de mensajería de las víctimas.
"Los aproximadamente 90 objetivos notificados por WhatsApp probablemente representan una fracción del número total de casos de Paragon. Sin embargo, en los casos ya investigados, existe un patrón preocupante y familiar de ataques contra grupos de derechos humanos, críticos del gobierno y periodistas", declaró Citizen Lab el miércoles (https://citizenlab.ca/2025/03/a-first-look-at-paragons-proliferating-spyware-operations/).
Las infecciones de spyware Graphite se pueden detectar en dispositivos Android pirateados con la ayuda de un artefacto forense (denominado BIGPRETZEL), que se puede detectar mediante el análisis de los registros de los dispositivos afectados.
Sin embargo, la falta de evidencia de infección no descarta que los indicadores forenses se sobrescribieran o no se capturaran debido a la naturaleza esporádica de los registros de Android.
Citizen Lab también mapeó la infraestructura de servidores utilizada por Paragon para implementar los implantes de spyware Graphite en los dispositivos objetivo, encontrando posibles vínculos con múltiples clientes gubernamentales, como Australia, Canadá, Chipre, Dinamarca, Israel y Singapur.
A partir del dominio de un único servidor dentro de la infraestructura de Paragon, los investigadores desarrollaron múltiples huellas digitales que ayudaron a descubrir 150 certificados digitales vinculados a docenas de direcciones IP que se cree forman parte de una infraestructura dedicada de comando y control.
Esta infraestructura incluía servidores en la nube, probablemente alquilados por Paragon o sus clientes, así como servidores probablemente alojados en las instalaciones de Paragon y sus clientes gubernamentales, afirmó Citizen Lab.
La infraestructura que encontramos está vinculada a páginas web tituladas 'Paragon', devueltas por direcciones IP en Israel (donde Paragon tiene su sede), así como a un certificado TLS que contiene el nombre de la organización 'Graphite', que es el nombre del software espía de Paragon, y el nombre común 'installerserver' (Pegasus, un producto espía de la competencia, utiliza el término 'Servidor de Instalación' para referirse a un servidor diseñado para infectar un dispositivo con software espía).
Paragon Solutions Ltd., desarrollador israelí de software espía, fue fundada en 2019 por Ehud Barak, ex primer ministro israelí, y Ehud Schneorson, ex comandante de la Unidad 8200 de Israel (http://www.reuters.com/world/middle-east/what-is-israels-secretive-cyber-warfare-unit-8200-2024-09-18/). El grupo de inversión AE Industrial Partners, con sede en Florida, supuestamente adquirió la empresa en diciembre de 2024.
A diferencia de competidores como NSO Group, Paragon afirma que solo vende sus herramientas de vigilancia a agencias policiales y de inteligencia en países democráticos que buscan perseguir a delincuentes peligrosos.
En diciembre de 2022, el New York Times informó que la Administración para el Control de Drogas de Estados Unidos (DEA) utilizó el software espía Graphite de la empresa. Dos años después, en octubre de 2024, Wired informó que Paragon firmó un contrato de 2 millones de dólares con el Servicio de Inmigración y Control de Aduanas de Estados Unidos (ICE).
Actualización 19 de marzo, 12:11 EDT: Se añadió un comunicado de WhatsApp.