Stelios Kouloglou, ex-membro do Parlamento Europeu (MEP) que serviu no comitê investigando abusos do spyware Pegasus, foi infectado repetidamente com o spyware do grupo NSO durante seu mandato, de acordo com novas descobertas forenses do Citizen Lab. Este é o primeiro caso em que um membro do comitê PEGA é identificado publicamente como vítima de Pegasus enquanto servia ativamente na investigação.
Descoberta e escopo da infecção
Kouloglou serviu como membro substituto do Comitê de Inquérito do Parlamento Europeu sobre Pegasus e spyware de vigilância equivalente (Comitê PEGA) de março de 2022 a julho de 2023. A análise forense de seu iPhone, realizada após ele entrar em contato com o Citizen Lab em maio de 2026, revelou que seu dispositivo foi comprometido em vários pontos durante as deliberações mais sensíveis do comitê.
O dispositivo de Kouloglou foi infectado com Pegasus em 21 de outubro de 2022 e novamente em 6-7 de março de 2023. A primeira infecção usou a exploração zero-click PWNYOURHOME, evidenciada por uma pesquisa de um endereço de e-mail vinculado ao HomeKit (rauharepo888@gmail.com) seguida por atividade de rede Pegasus dois minutos depois.
A Apple enviou notificações de ameaça a Kouloglou em três ocasiões separadas: 2 de março de 2023, 29 de agosto de 2023 e 10 de abril de 2024. Ele não se lembra de ter visto essas notificações. Ambas as datas de infecção coincidem precisamente com períodos intensos de atividade do Comitê PEGA, incluindo preparação de audiências, circulação de rascunhos de relatórios e visitas de delegações internacionais.
Contexto e implicações regulatórias
A infecção de outubro de 2022 ocorreu dez dias antes de uma viagem de delegação do PEGA para Chipre e Grécia que Kouloglou ajudou a planejar e participou pessoalmente. Também coincidiu com a redação do primeiro relatório do comitê, muito do qual estava sendo discutido via texto e e-mail entre membros e funcionários.
Notavelmente, a data exata da infecção caiu enquanto Kouloglou estava hospitalizado para uma cirurgia eletiva. No mesmo dia, ele foi visitado pelo jornalista investigativo grego Thanasis Koukakis, que havia testemunhado anteriormente perante o PEGA sobre ter sido alvo do spyware Predator da Intellexa. Como a infecção ocorreu durante uma estadia hospitalar, o Citizen Lab observa que é possível que o spyware tenha capturado informações médicas confidenciais, potencialmente implicando a lei de proteção de dados grega.
O Citizen Lab se absteve de atribuir o hacking a um governo específico, afirmando explicitamente que não encontrou evidências de que o governo grego fosse responsável e nenhuma indicação de que a Grécia tenha sido cliente do grupo NSO. Em vez disso, os pesquisadores identificaram uma sobreposição: o mesmo e-mail vinculado ao HomeKit usado na primeira infecção de Kouloglou também apareceu em um relatório conjunto de 2024 com a Access Now documentando o direcionamento do Pegasus a jornalistas e ativistas exilados de língua russa e bielorrussa na Europa.
Impacto e alcance
Kouloglou não é o primeiro MEP a ser hackeado com spyware mercenário. Os MEPs catalães Diana Riba, Jordi Solé e Carles Puigdemont foram alvos confirmados do Pegasus, assim como o MEP grego Nikos Androulakis (Predator). Mais recentemente, a MEP francesa Nathalie Loiseau e a MEP alemã Daniel Freund confirmaram o direcionamento de spyware em 2024. No entanto, Kouloglou é o primeiro membro do Comitê PEGA identificado como comprometido enquanto servia ativamente na própria investigação.
Este caso destaca a vulnerabilidade de políticos e investigadores de segurança a ataques de spyware sofisticados. A capacidade do Pegasus de infectar dispositivos sem interação do usuário (zero-click) e de evadir detecções tradicionais torna-o uma ameaça crítica para a segurança da informação de governos e organizações internacionais.
Medidas de mitigação recomendadas
Para se proteger contra ataques de spyware como o Pegasus, as organizações e indivíduos devem considerar as seguintes medidas:
- Atualização de software: Manter todos os dispositivos e aplicativos atualizados com as últimas correções de segurança.
- Monitoramento de rede: Implementar monitoramento de tráfego de rede para detectar comunicações suspeitas com servidores C2.
- Conscientização: Treinar funcionários para reconhecer e reportar e-mails de phishing e tentativas de engenharia social.
- Proteção de dados: Implementar políticas de proteção de dados rigorosas para minimizar o impacto de possíveis vazamentos.
- Investigação forense: Realizar análises forenses regulares de dispositivos críticos para detectar infecções ocultas.
Perguntas frequentes
O que é o spyware Pegasus?
O Pegasus é um spyware desenvolvido pelo grupo NSO Group, capaz de infectar dispositivos móveis sem interação do usuário e exfiltrar dados sensíveis.
Como o PEGA foi afetado?
O Comitê PEGA, responsável por investigar abusos do Pegasus, teve um de seus membros infectado, destacando a vulnerabilidade de investigadores a ataques de spyware.
Qual é a implicação para a segurança da informação?
O caso destaca a necessidade de medidas de segurança robustas para proteger dados sensíveis e dispositivos de políticos e investigadores.