Laporan yang dirilis oleh The Citizen Lab pada 19 Maret 2025 mengungkapkan bahwa peneliti berhasil memetakan infrastruktur server milik Paragon yang digunakan untuk aktivitas mata-mata. Mereka menemukan server tersebut yang berkode 'Graphite', dengan informasi yang diperoleh dari sumber internal. Dari penyelidikan tersebut, para peneliti menggunakan sidik jari digital untuk mengidentifikasi server Paragon, serta menemukan alamat IP yang dihosting oleh perusahaan telekomunikasi lokal.
Berdasarkan data yang didapat, The Citizen Lab meyakini bahwa beberapa IP tersebut milik pelanggan Paragon, dengan bukti yang menunjukkan adanya keterkaitan antara infrastruktur yang dipetakan dan Paragon. Dalam laporan tersebut, terungkap bahwa server itu terhubung dengan halaman web berjudul 'Paragon', yang menyertakan sertifikat TLS bertuliskan 'Graphite'.
Lebih lanjut, The Citizen Lab berhasil mengidentifikasi beberapa nama kode lain yang menunjukkan calon pelanggan pemerintah Paragon. Di antara negara yang diduga sebagai pengguna adalah Kepolisian Provinsi Ontario di Kanada. TechCrunch juga mencoba menghubungi juru bicara pemerintah negara-negara yang ditunjuk, seperti Australia, Kanada, Siprus, Denmark, Israel, dan Singapura, namun tidak ada tanggapan resmi yang diterima.
Juru bicara OPP, Jeffrey Del Guidice, tidak membantah temuan tersebut. Dia menekankan bahwa pembocoran informasi mengenai teknik dan teknologi investigasi tertentu dapat mengancam proses penyelidikan yang tengah berjalan dan dapat membahayakan keselamatan publik. Hal ini menunjukkan bahwa presisi dalam pengawasan mata-mata menjadi semakin kompleks dan penuh risiko.
Dalam respon terhadap laporan The Citizen Lab, pihak Paragon menanggapi bahwa informasi yang dihimpun oleh lab tidak akurat dan sangat terbatas. CEO Fleming tidak dapat memberikan komentar lebih jauh kepada TechCrunch mengenai informasi yang dia anggap tidak akurat tersebut.
Salah satu hasil yang paling mencolok dari penelitan tersebut adalah terkait metode pengintaian Paragon yang lebih sulit untuk diidentifikasi. Semua individu yang menerima pemberitahuan dari WhatsApp yang telah terinfeksi spyware adalah pengguna ponsel Android, yang memungkinkan peneliti menemukan "artefak forensik" yang terdeteksi oleh spyware yang dikenal dengan nama proyek "BIGPRETZEL".
