Descoberta e escopo
O consultor Francesco Nicodemo — que dirige a agência Lievito e participou de treze campanhas eleitorais em 2024 — detectou um comportamento suspeito em 31/01/2025, ao receber uma mensagem no WhatsApp enquanto estava em Viena. Pesquisadores cruzaram incidentes semelhantes envolvendo jornalistas e ativistas e identificaram o padrão relacionado ao Paragon Graphite.
Vetor de infecção e técnica
Relatos apontam que a campanha usa mensagens fraudulentas que aparentam originar-se da infraestrutura de suporte do WhatsApp. Ao contrário de ataques baseados em interação do usuário, essa variante pode operar via técnicas zero-click, entregando módulos de vigilância capazes de extrair mensagens, registros de chamadas e dados de localização. As fontes descrevem um processo multiestágio e a capacidade do spyware de operar em dispositivos mesmo quando não estão em uso.
Houve um caso documentado em que a infecção permaneceu ativa em um dispositivo Android mesmo após o alvo migrar para um iPhone e deixar o aparelho antigo guardado. As análises sugerem que o componente de vigilância consegue acessar dados em dispositivos ativos e inativos; contudo, as fontes não apresentam um detalhamento técnico completo sobre os mecanismos de persistência em firmware ou subsistemas — elas observam o comportamento, mas não publicam um root-cause técnico com CVE associado.
Impacto e alvos
O principal impacto é a exposição potencial de comunicações sensíveis com parlamentares, candidatos e membros seniores de partido, dada a posição do alvo. Pesquisadores observam que a campanha selecionou um número pequeno e específico de alvos na Itália, o que reforça caráter direcionado (targeted) da operação. Não há, nas fontes consultadas, uma lista pública abrangente de vítimas ou contagem total de aparelhos comprometidos.
Evidências e validação
O padrão foi identificado por equipes de segurança e confirmado após contato direto de pesquisadores que monitoravam sinais de comprometimento. Cité-se a participação de especialistas em vigilância digital no processo de validação. As fontes descrevem artefatos e comportamentos observados, mas algumas afirmações — como persistência em firmware — são relatadas sem divulgação de provas técnicas completas nas publicações disponíveis.
Mitigações e recomendações
- Isolamento imediato de dispositivos suspeitos e preservação para análise forense.
- Avaliação de mensagens e anexos recebidos por meios de comunicação instantânea, com suspeita elevada para comunicações que aparentam iniciar suporte técnico.
- Uso de cadeias de custódia e cooperação com investigadores especializados ao lidar com possíveis casos de spyware de nível sofisticado.
Limitações das informações
As fontes descrevem o quadro de comprometimento e alguns indicadores, mas não publicam um relatório técnico completo com assinaturas, amostras de código ou CVEs vinculados. Também não há confirmação pública de atribuição a um ator estatal ou criminal específico — as publicações mantêm foco em indicadores e no impacto sobre alvos determinados.
Relevância
Para equipes de segurança e conselhos de comunicação envolvidos em campanhas políticas, o caso reforça a necessidade de práticas robustas de segurança de dispositivos móveis, de protocolos de verificação de mensagens e da cooperação com especialistas em threat intelligence quando sinais de comprometimento forem detectados.