核心发现

• Paragon Solutions公司简介：Paragon Solutions于2019年在以色列成立，销售名为Graphite的间谍软件。该公司自称具备防护措施，可避免NSO集团等其他供应商臭名昭著的间谍软件滥用问题。
• Paragon间谍软件基础设施分析：根据合作方线索，我们定位了归属于Paragon Graphite间谍工具的服务器基础设施，发现了在澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡的疑似部署。
• 加拿大潜在客户线索：调查发现Paragon Solutions与加拿大安大略省警察局存在关联，显示安大略省警方间谍软件生态系统正在扩张。
• 协助WhatsApp捕获零点击漏洞：我们向Meta提供Paragon基础设施分析，帮助其发现并修复了活跃的Paragon零点击漏洞。WhatsApp随后向包括意大利公民社会成员在内的90多名疑似目标发送通知。
• Android设备取证分析：意大利集群：对意大利Paragon目标（WhatsApp通知接收者）的多部Android设备分析显示，WhatsApp及其他应用存在间谍软件植入迹象。
• 意大利iPhone间谍软件关联案例：一名与Android目标密切接触者收到苹果威胁通知。设备分析显示2024年6月曾遭新型间谍软件攻击，苹果确认已在iOS 18修复。
• 针对同一意大利集群的其他监控技术：Meta向该组织成员发送的2024年警告显示，需进一步调查针对他们的其他监控技术。

1. 背景：Paragon Solutions

Paragon Solutions有限公司

Paragon Solutions Ltd. 2019年成立于以色列，创始人包括以色列前总理埃胡德·巴拉克和以色列8200部队前指挥官埃胡德·施内尔森。其产品Graphite间谍软件据称可"访问设备即时通讯应用"，而非像NSO集团的Pegasus那样全面控制手机。

据2021年《福布斯》报道，Paragon高管表示公司仅向"遵守国际规范、尊重基本权利"的政府客户销售，承诺"永远不会向威权或非民主政权出售产品"。

Paragon Solutions美国公司

Paragon Solutions (US) Inc. 2021年3月在特拉华州注册成立，2022年10月获弗吉尼亚州营业许可。其管理层包括前中情局官员、前海军项目主管等具有美国政府背景的人员。

Paragon母公司

2024年12月，Paragon以色列公司股权以5亿美元现金加4亿美元对赌条款转让给美国公司Paragon Parent Inc.。报道称美国私募股权公司AE Industrial Partners计划将Paragon与网络安全公司REDLattice合并。REDLattice董事会成员包括前中情局高官和美军前总参谋长。

Paragon的美国业务

《纽约时报》2022年报道美国缉毒局(DEA)曾使用Graphite间谍软件。2024年底，美国移民海关执法局(ICE)与Paragon的合同因白宫审查暂停。36个公民社会组织对此表示关切，要求透明化。

2. Paragon基础设施测绘

第一层：受害者端服务器

通过合作方提供的线索，我们定位了使用特殊自签名TLS证书的服务器集群（指纹P1），发现150个相关证书，主要部署在云服务器租赁公司，构成指挥控制基础设施（第一层）。

第二层：Paragon与客户终端

部分第一层IP同时返回指纹P2证书，涉及澳大利亚、加拿大等国家本地电信运营商IP，疑似客户本地部署。以色列静态IP（84.110.47.82–86）多次返回含"Paragon"网页，并发现名为"Graphite"的证书，确证与Paragon关联。

加拿大"Cap"客户线索

加拿大客户"Cap"的IP注册方"Integrated Communications"与安大略省警察总局地址吻合，结合安省警方过往使用"黄貂鱼"等监控技术的记录，暗示其可能为Paragon客户。

加拿大执法部门监控史

安省警察曾独家采购蜂窝基站模拟器，被曝未经司法授权大规模拦截网络聊天。2022年加拿大皇家骑警(RCMP)承认使用未具名供应商的间谍软件（ODIT工具）。公开法庭记录显示安省多个警察部门正在扩展间谍软件能力。

3. WhatsApp的Paragon调查

我们向Meta提供基础设施分析，协助WhatsApp发现并修复Paragon零点击漏洞。2025年1月31日，WhatsApp向约90名目标发送通知，包括意大利公民社会成员。

4. Paragon目标：意大利关联

Android设备感染确认

对意大利记者Francesco Cancellato、移民救援组织成员Luca Casarini和Beppe Caccia的设备分析发现间谍软件痕迹（BIGPRETZEL标记）。WhatsApp确认该标记与Paragon相关。

关联iPhone案例

与Casarini密切合作的David Yambio收到苹果威胁通知。设备分析发现2024年6月的异常活动（SMALLPRETZEL标记），苹果确认已在iOS 18修复相关漏洞。

其他监控技术

2024年2月，Meta向Casarini等人发送政府支持的黑客警告，显示存在多种监控技术威胁。

意大利海上救援组织的监控背景

意大利政府近年通过法律限制海上救援，联合国批评其"实质惩罚移民及其救助者"。Paragon目标多为此类组织的成员，其感染时间与政治倡导活动存在关联。

意大利政府的矛盾回应

从最初否认到承认采购，意大利政府回应缺乏透明度。情报部门确认使用Graphite，但否认监控记者。目前合同已暂停，议会调查受阻。

意大利间谍软件产业史

意大利本土曾涌现多家商业间谍软件公司（如Hacking Team）。威尼斯委员会报告指出，意大利法律规定间谍软件仅限调查严重犯罪使用，需司法授权。

结论：商业间谍软件无法杜绝滥用

Paragon试图通过选择性客户和营销策略规避丑闻，但现实案例显示其技术仍被用于监控记者和公民社会。即便在民主国家，强大监控技术的滥用诱惑始终存在。

取证技术的黄昏？

Paragon采用将间谍软件注入合法应用的新技术（类似Poison Carp攻击），增加取证难度。这凸显应用开发者、科技平台与公民社会合作的重要性。

通知系统的关键作用

WhatsApp和苹果的威胁通知成为追责生态关键环节。本案多数目标正源于此类通知，显示企业透明度机制的价值。

亟待回答的问题

媒体报道称Graphite保留政府客户的详细日志，应成为滥用调查重点。各国立法机构需主动监督间谍软件使用，而非坐等丑闻爆发。

Paragon的回应

Paragon以"国家安全限制"为由拒绝具体回应，延续商业间谍软件公司惯用的模糊否认策略。

加拿大的问题

加拿大政府尚未落实议会关于监控技术改革的建议，也未效仿美国出台间谍软件采购禁令。安省警方间谍软件的使用敲响警钟。