NICKNAME: L'exploit Zero-Click di iMessage ha preso di mira personaggi chiave negli Stati Uniti e nell'UE

La scoperta di iVerify su NICKNAME rivela una falla di iMessage che non richiede un clic ed è stata sfruttata in attacchi mirati contro individui di alto valore negli Stati Uniti e nell'Unione Europea, tra cui personaggi politici, professionisti dei media e dirigenti di aziende di intelligenza artificiale.

iVerify, piattaforma leader nella sicurezza EDR mobile, ha annunciato la scoperta di una vulnerabilità zero-click precedentemente sconosciuta nel servizio iMessage di Apple. Denominata NICKNAME, questa falla può compromettere un iPhone senza alcuna interazione da parte dell'utente e sembra far parte di una sofisticata campagna di spyware per dispositivi mobili, potenzialmente supportata dalla Cina, che prende di mira personaggi di spicco negli Stati Uniti e in Europa.

Secondo il rapporto di iVerify, condiviso con Hackread.com, tra la fine del 2024 e l'inizio del 2025 sono state osservate attività insolite sugli iPhone di importanti aziende negli Stati Uniti e nell'Unione Europea. Tra queste, rari arresti anomali che rappresentavano solo lo 0,0001% dei registri degli arresti anomali di un campione di 50.000 iPhone, tipici degli attacchi avanzati di iMessage zero-click .

Attraverso l'analisi forense, la vulnerabilità NICKNAME è stata rilevata su dispositivi appartenenti a individui di alto valore di interesse per il Partito Comunista Cinese (PCC). Tra questi obiettivi figurano personaggi politici, professionisti dei media e dirigenti di aziende di intelligenza artificiale. In particolare, alcuni individui interessati erano stati precedentemente presi di mira da Salt Typhoon , una nota operazione informatica.

L'exploit sfrutta una debolezza nel processo di imagent degli iPhone, che si ritiene venga attivata da una rapida serie di aggiornamenti del nickname inviati tramite iMessage. Questa azione provoca una corruzione della memoria "use-after-free", creando un'opportunità per gli aggressori di ottenere il controllo.

L'indagine tecnica altamente approfondita di iVerify ha identificato sei dispositivi che si ritiene siano stati presi di mira, quattro dei quali mostrano chiare firme NICKNAME e due indicano uno sfruttamento riuscito. Queste vittime erano costantemente collegate ad attività di interesse per il PCC, come precedenti attacchi da parte del tifone Salt, rapporti commerciali contrari agli interessi del PCC o attivismo contro il regime.

Sebbene Apple abbia rilasciato una patch per questa vulnerabilità in iOS 18.3.1 , iVerify avverte che NICKNAME potrebbe essere solo un componente di una catena di exploit più ampia e attiva. L'azienda sottolinea la necessità critica per le organizzazioni, compresi gli enti governativi, di adattare i propri modelli di sicurezza mobile per contrastare queste minacce moderne e avanzate.

L'attribuzione diretta al PCC non è stata definitivamente provata, ma le prove circostanziali sono convincenti. Inoltre, secondo iVerify, le prove fornite da esperti indipendenti di sicurezza iOS, tra cui Patrick Wardle della fondazione Objective-By-The-Sea, supportano la compromissione dei dispositivi mobili come una minaccia reale negli Stati Uniti.

Questa scoperta è importante perché potrebbe essere la prima rilevazione sistematica di un attacco zero-click su iMessage negli Stati Uniti. Questi attacchi sono particolarmente pericolosi perché bypassano persino applicazioni di messaggistica altamente sicure come Signal.

Una volta compromesso un dispositivo, tutte le conversazioni e i dati privati, indipendentemente dall'applicazione utilizzata, diventano accessibili agli aggressori. Questo è particolarmente importante in eventi come SignalGate , che dimostrano come nessun canale di comunicazione sia veramente privato se compromesso.