Non è un fenomeno isolato ai nostri casi: nei giorni scorsi Paolo Dal Checco, perito informatico forense e ricercatore italiano, ha segnalato su X qualcosa di insolito https://x.com/forensico/status/2056973772557619386, allertando gli utenti di iPhone dal modello 8 al 14 con iOS 16 rispetto a un nuovo pattern di attacco osservato in più casi, in cui un attaccante accede alle chat e invia messaggi dall'account della vittima.

Le analisi sul campo dello studio Forenser e le rilevazioni del nostro SecOps team convergono sullo stesso quadro.

Lo scenario osservato è ricorrente e identico in tutti i casi raccolti:

• l’utente non compie alcuna azione: nessun link cliccato, nessun allegato aperto, nessun codice o QR code condiviso;
• a un certo punto i contatti recenti ricevono, dal numero della vittima, richieste di bonifico o di denaro;
• la vittima se ne accorge solo quando qualcuno risponde con un “ma perché mi chiedi dei soldi?”;
• nella sezione Dispositivi collegati (Linked Devices) di WhatsApp non risulta nulla di anomalo: è pulita.

L’assenza totale di interazione da parte dell’utente esclude il classico raggiro “con QR o codice” e fa propendere per una compromissione 0-click: basta ricevere un contenuto malevolo generato dall’attaccante, senza nemmeno aprirlo, per permettere all’attaccante di prenderne possesso.

Il vettore documentato come ipotesi principale è la concatenazione di due CVE già note e patchate nel 2025, entrambe presenti nel catalogo CISA KEV e già sfruttate in attacchi mirati reali:

• CVE-2025-55177 (WhatsApp): un controllo di autorizzazione incompleto sui messaggi di sincronizzazione tra dispositivi permette di far elaborare al telefono un contenuto remoto senza alcuna interazione. È il canale di consegna.

• CVE-2025-43300 (Apple ImageIO): una falla nel componente di sistema che elabora le immagini; un’immagine malformata può corrompere la memoria e arrivare all’esecuzione di codice — anche solo generando un’anteprima, senza che la vittima apra nulla. È il payload.

Messe in fila: una porta dentro il contenuto, l’altra lo esegue. Il risultato non è un malware vistoso, ma il furto del materiale crittografico di sessione, abbastanza per far comparire un client WhatsApp “fantasma” agganciato all’account della vittima ma invisibile tra i dispositivi collegati.

L'evidenza forense più caratteristica emersa dalle analisi dei log (sysdiagnose e unified logs) è una sequenza continua e anomala di eventi resync generati da WhatsApp: l'app sembra rinegoziare di continuo la sessione con i server. Letta correttamente, questa sequenza è la firma di una competizione tra due endpoint che provano a tenere viva la stessa sessione sullo stesso account: il telefono legittimo e il client dell'attaccante si contendono la sessione, riautenticandosi ciclicamente. A supporto dell'ipotesi ImageIO, negli stessi log compaiono errori della libreria di parsing immagini in orari compatibili con la finestra di compromissione.

Questo spiega i tre indizi controintuitivi:

1. Nessun dispositivo collegato visibile → la sessione fantasma non passa dal normale flusso di linked device e non viene listata;
2. Niente notifica → né WhatsApp né iOS avvisano l'utente del nuovo endpoint;
3. Solo chat recenti → la sessione clonata sincronizza una finestra limitata di conversazioni.
   

Un account takeover su WhatsApp sembra un problema “consumer”, lontano dal SOC. Non lo è:

• vive sul telefono, dove raramente arriva un EDR aziendale;
• non lascia nessun IOC tradizionale: nessun dominio loggato dal proxy, nessun binario, nessun dispositivo collegato visibile;
• il payload finale è social engineering ad alta resa: una richiesta di denaro che arriva dal numero reale e fidato di un collega, un dirigente o un fornitore.

Il consiglio più importante e immediato è uno: aggiornare iOS ad almeno 18.6.2 (per gli iPhone più vecchi fermi su iOS 16, l’ultima release di sicurezza disponibile, ≥ 16.7.12) e WhatsApp all’ultima versione. Nei casi osservati, con l’OS aggiornato vengono meno le condizioni di sfruttamento.

Inoltre:

• attivare la Lockdown Mode sui dispositivi più esposti;
• proteggere le chat sensibili con il blocco chat biometrico di WhatsApp: nelle osservazioni sul campo le chat bloccate non risultavano accessibili all’attaccante;
• in caso di sospetta compromissione, reinstallare o ri-autenticare WhatsApp (o spostarlo su un nuovo dispositivo) per invalidare la sessione fantasma;
• a livello organizzativo, verificare sempre out-of-band ogni richiesta di pagamento ricevuta via messaggistica: una telefonata diretta, non una risposta sulla stessa chat (che l’attaccante potrebbe leggere).

Un account dirottato su un’app consumer sembra il vettore più lontano dal SOC. È invece il promemoria che il perimetro non coincide sempre con i dispositivi che gestiamo, e che la differenza tra un fastidio personale e una frode aziendale sta sempre più nella capacità di accorgersene.