Lucrezia Ciotti Un semplice post su LinkedIn ha rivelato per errore il funzionamento di Graphite, lo spyware di Paragon Solutions progettato per spiare smartphone tramite vulnerabilità zero-click. L’episodio ha mostrato numeri di telefono, app infettate e log di intercettazioni attive, evidenziando come strumenti pensati per la sorveglianza governativa possano operare in profondità sui dispositivi delle vittime, anche in app cifrate come WhatsApp, Telegram e Signal.
Graphite tra tecnologia avanzata e controversie legali
Graphite è uno spyware di fascia alta progettato per ottenere accesso remoto ai dispositivi mobili senza alcuna interazione da parte della vittima, sfruttando vulnerabilità zero-click. A differenza di soluzioni concorrenti, Paragon ha presentato Graphite come uno strumento più mirato alle singole applicazioni, destinato a governi selezionati e sottoposto a procedure di verifica legale. Tuttavia, come mostrano i casi italiani, il confine tra uso legittimo e sorveglianza abusiva resta sottile: vulnerabilità in WhatsApp sono state sfruttate per monitorare giornalisti e attivisti, evidenziando come il software possa operare più in profondità di quanto l’azienda stessa dichiarasse.
Dal punto di vista operativo, lo screenshot condiviso conferma l’esistenza di un’architettura centralizzata di comando e controllo (C2), completa di dashboard di gestione target, log di attività e strumenti di orchestrazione degli exploit. La pubblicazione accidentale ha fornito indicatori preziosi ai ricercatori di sicurezza per sviluppare contromisure, ma ha anche acceso un dibattito più ampio sulla responsabilità delle aziende spyware.
Paragon tradita da un post social: lo spyware mostrato in azione su smartphone e app protette
Un selfie pubblicato senza eccessive cautele sui social ha esposto involontariamente l’azienda israeliana Paragon Solutions, oggi controllata da un fondo statunitense, specializzata nello sviluppo di software di sicurezza e strumenti di sorveglianza per enti governativi. L’immagine, rapidamente rimossa da LinkedIn, mostrava uno screenshot del pannello di controllo di Graphite, lo spyware già noto per aver monitorato figure pubbliche italiane come il direttore di Fanpage.it, Francesco Cancellato, e il giornalista Ciro Pellegrino.
Nella schermata comparivano numeri di telefono, applicazioni infettate — tra cui WhatsApp e un’icona simile a TikTok — e lo stato delle attività di intercettazione. Come ha osservato il ricercatore Jurre van Bergen, che ha salvato l’immagine prima della sua rimozione, “queste attività non vengono quasi mai rese pubbliche”, sottolineando il valore eccezionale del materiale catturato.
Come riportato da Fanpage, lo scatto probabilmente raffigurava un ambiente dimostrativo. Tuttavia, la rilevanza dell’episodio non è diminuita: l’interfaccia mostrava un numero ceco denominato “Valentina”, log di intercettazioni attivi e strumenti per il monitoraggio di comunicazioni cifrate, incluse app come Telegram e Signal, solitamente considerate sicure grazie alla crittografia end-to-end.
John Scott-Railton di Citizen Lab ha definito l’evento un “clamoroso fallimento di sicurezza operativa”, sottolineando come la divulgazione involontaria di dati operativi rappresenti un vero e proprio “epic OPSEC fail” in un settore dove la segretezza è tutto. Come evidenziato da John Scott-Railton, “Paragon ha sempre cercato di ridimensionare la portata delle proprie attività”, ma questa esposizione mostra che Graphite potrebbe avere capacità molto più invasive, con implicazioni rilevanti per la protezione dei dati personali e la sorveglianza governativa.
Epic OPSEC fail by Paragon exposing Graphite spyware capabilities.
Annotated pic from what we know.
Please help me figure out the other apps in in this pic that the spyware can access:#WhatsApp#Telegram#Signal
?#Line?
?#Snapchat?#TikTok? https://t.co/EAfzOwpDti pic.twitter.com/01KQQSGm3X— John Scott-Railton (@jsrailton) February 11, 2026