Ci sono le prove degli attacchi con lo spyware di Paragon: cosa dice il rapporto di Citizen Lab Il report del gruppo di ricercatori Citizen Lab sul caso Paragon dedica un lungo capitolo al caso italiano. Sono stati analizzati tutti i dati di tre smartphone, quello del direttore di Fanpage.it Francesco Cancellato e quelli dei fondatori di Mediterranea Saving Humans Luca Casarini e Giuseppe Caccia. Vi lasciamo qui tutti i risultati.

A cura di Valerio Berra

Nel rapporto del gruppo Citizen Lab sul caso Paragon c’è un intero capitolo dedicato ai casi italiani. Le analisi forensi sono state fatte su tre dispositivi: lo smartphone di Francesco Cancellato, direttore di Fanpage.it, quello di Luca Casarini, fondatore di Mediterranea Saving Humans e quello di Giuseppe Caccia, responsabile delle operazioni di Mediterranea Saving Humans. Qui potete leggere la versione completa del repor di Citizen Lab.

La posizione di Citizen Lab su questi dispositivi è chiara. “Basandoci sulla ricezione della notifica di WhatsApp, crediamo che tutti siano stati infettati dallo spyware di Paragon”. La notifica a cui fanno riferimento è il messaggio arrivato a fine gennaio 2025 dall’account WhatsApp Support in cui Meta spiega che l’account potrebbe essere stato infettato da uno spyware trovato e bloccato a dicembre.

Lo strumento BIGPRETZEL per identificare gli spyware

Le analisi sono state condotte usand BIGPRETZEL, uno strumento in grado di identificare la presenza dello spyware Graphite all’interno di un dispositivo Android. I risultati di BIGPRETZEL sono stati confermati anche da WhatsApp che spiega come questo indicatore si possa associare alla presenza di Paragon su un device. L’obiettivo dei ricercatori era capire con BIGPRETZEL da quanto tempo era attivo lo spyware Paragon nei device analizzati. Nello smartphone di Caccia sono stati trovati sette tracce, dal 22 dicembre 2024 al 31 gennaio 2025. In quello di Casarini è stata trovata una traccia il 23 dicembre del 2024.

Il caso del telefono di Francesco Cancellato

In quello di Francesco Cancellato non sono state trovate tracce, almeno in questa fase di analisi. Il motivo è stato spiegato dagli stessi ricercatori: “Questo non vuol dire che il dispositivo non si stato hackerato, semplicemente gli accessi possono non essere stati registrati o sovrascritti". Nel report, ricordiamo si specifica: "Siamo convinti che tutti i telefoni siano stati hackerati in ragione dei messaggi di Meta”. L’infezione dello spyware, quindi, potrebbe essere antecedente al periodo osservato oppure sovrascritta con altri dati. Vedremo nelle prossime analisi forensi.

Lo smartphone di David Yambio

Nel lungo capitolo dedicato all’Italia, nel report si cita anche il caso di David Yambio, un collaboratore di Casarini e Caccia. Il suo dispositivo è un iPhone, a differenza degli altri tre che erano Android. Yambio ha ricevuto un avviso il 13 novembre, direttamente da Apple. Nell’avviso veniva spiegato che il telefono era stato infettato da uno spyware. In questo caso le analisi hanno rilevato in effetti un’attività legata a uno spyware. Ma le analisi non hanno fatto emergere elementi che legano questa attività a uno spyware specifico, e questo vale sia per Graphite che per altri spyware noti nel mercato come Pegasus di NSO Group. Sui legami tra questo caso e Paragon i ricercatori di Citizen Lab continueranno a lavorare.