Si dice che nel mondo dello spionaggio digitale commerciale, i nomi cambino ma la musica resti la stessa. L’ultima prova arriva da casa nostra, dove Francesco Nicodemo, un consulente politico, si è trovato nel mirino di Graphite, il spyware prodotto dall’israeliana Paragon Solutions. Non è il primo, è il quinto. E quando i casi iniziano a somigliarsi, non si parla più di coincidenze, ma di un pattern, di una strategia. La domanda che sorge spontanea è: chi sarà il sesto?
Paragon Solutions, fondata nel 2019 da veterani dell’intelligence israeliana, commercializza Graphite come uno strumento di “precisione”, quasi un chirurgo del surveillance, specializzato nell’accedere ai dati dei comunicatori – WhatsApp, Signal, iMessage – piuttosto che nel dominio totale del dispositivo. Una distinzione che, nella pratica, fa poca differenza per chi si ritrova i propri segreti strappati via da un software che agisce nell’ombra.
Il vettore d’attacco preferito, in questo caso, è stato il classico ma sempre efficace zero-click su iMessage. Immaginate un messaggio che non vedrete mai, che non richiede la vostra interazione, ma che sfrutta una vulnerabilità – in questo caso identificata come CVE-2025-43200 – per innescare una catena di exploit: execution remoto di codice, fuga dalla sandbox, persistenza. Apple ha tappato la falla a febbraio 2025, ma come sempre, il diavolo si nasconde nei dettagli, e in quel lasso di tempo qualcuno ha approfittato dell’occasione.
Gli investigatori di Citizen Lab, sempre attenti e precisi, hanno identificato e confermato gli artefatti forensi di questa campagna, battezzando un indicatore chiave come SMALLPRETZEL. Sono tracce digitali, piccoli sassolini lasciati lungo il sentiero: anomalie nei log di iMessage, picchi improvvisi di traffico in database come DataUsage.sqlite, file temporanei MIME in directory di cache che non dovrebbero esserci. Sono le impronte digitali del passaggio di Graphite.
Le capacità di questo spyware sono quelle che ci aspetteremmo da uno strumento di questa fascia: estrazione di contenuti da chat crittate end-to-end (dopo che sono state decifrate localmente, ovviamente), accesso a file, contatti, microfoni e telecamere, geolocalizzazione. E, naturalmente, meccanismi sofisticati per nascondere la propria presenza. Non è Pegasus, ma il risultato finale è lo stesso: la perdita della privacy e della sicurezza digitale.
Cosa significa tutto questo per un professionista della sicurezza, o per un’organizzazione che gestisce informazioni sensibili? Significa che l’aggiornamento software, per quanto cruciale, non è più sufficiente. Se il tuo modello di minaccia include attori dotati di spyware di livello governativo, devi alzare l’asticella. Il Lockdown Mode di iOS smette di essere un’opzione esotica e diventa una necessità per i profili ad alto rischio. Le policy MDM devono diventare più rigide, magari disabilitando iMessage per i dispositivi critici o limitandone l’uso a una allowlist ristretta.
Strumenti open-source come il Mobile Verification Toolkit (MVT) diventano alleati preziosi per la caccia agli artefatti, permettendo di analizzare backup iOS o log di sistema alla ricerca delle tracce lasciate da attacchi zero-click. E quando il dubbio diventa certezza, non c’è altra strada che la “sterilizzazione” dell’ambiente compromesso: isolamento fisico dell’device, rotazione di identità digitali, cambio di Apple ID, e nei casi più gravi, il “device burn” – la sostituzione pura e semplice del dispositivo.
Il caso italiano di Graphite si inserisce in un dibattito più ampio, e più spinoso, che riguarda la regolamentazione del mercato del surveillance-for-hire. Paragon, come altri, si presenta come un attore “etico”, ma i fatti – il targeting di giornalisti, attivisti, consulenti politici – raccontano una storia diversa. In Italia, il dibattito si è infuocato attorno ai presunti contratti tra Paragon e il governo, tra smentite e sospetti, in un balletto che ricorda da vicino altri casi, come quello di Hacking Team.
La lezione, come spesso accade, è amara ma chiara. I telefoni non sono più semplici strumenti di comunicazione; sono obiettivi strategici. Proteggerli richiede un approccio a strati, che unisca la tecnologia ai processi, e i processi alla consapevolezza umana. Perché in questo gioco, l’anello più debole non è sempre un click sbagliato, ma a volte è un messaggio che non hai nemmeno visto arrivare.
E mentre riflettiamo su tutto questo, da qualche parte, un server invia un altro messaggio silenzioso. E il ciclo ricomincia.