Parlamentar europeu que investigava spyware foi alvo do Pegasus
3 de Julho de 2026

Um novo relatório do Citizen Lab revelou que o ex-deputado do Parlamento Europeu Stelios Kouloglou teve seu dispositivo móvel invadido repetidas vezes com o notório spyware Pegasus enquanto integrava uma comissão encarregada de investigar o uso abusivo dessas ferramentas comerciais de vigilância no bloco.

“Por meio de uma análise forense de seu dispositivo, constatamos que os invasores poderiam ter tido acesso a documentos confidenciais e às deliberações da comissão”, afirmaram os pesquisadores do Citizen Lab John Scott-Railton, Bill Marczak, Bahr Abdul Razzak, Kate Pundyk, Siena Anstis e Ron Deibert.

Até o momento, as infecções não foram atribuídas a um governo específico, e não há evidências de que o governo grego esteja por trás da atividade.

No entanto, o laboratório interdisciplinar canadense observou que identificou uma sobreposição entre a primeira infecção e uma campanha anterior que tinha como alvo jornalistas e ativistas exilados, falantes de russo e bielorrusso, na Europa.

Isso indica que a ação provavelmente foi conduzida por um cliente do Pegasus com autorização para espionar em vários países europeus, acrescentou o Citizen Lab.

Kouloglou foi membro da “Comissão de Inquérito para investigar o uso do Pegasus e spyware de vigilância equivalente” do Parlamento Europeu entre 24 de março de 2022 e 18 de julho de 2023.

A Comissão PEGA foi criada em 10 de março de 2022 para apurar supostos abusos de ofertas comerciais de spyware, com foco em entender até que ponto Estados-membros e outros países usam essas ferramentas em violação aos direitos e às liberdades da região.

Segundo o Citizen Lab, uma análise forense de artefatos coletados de seu iPhone em maio de 2026 concluiu que o aparelho foi comprometido com o spyware Pegasus em torno de 21 de outubro de 2022 e novamente em 6 e 7 de março de 2023.

“Em 21/10/2022, às 10h16, houve uma consulta por um endereço de e-mail do HomeKit, rauharepo888[@]gmail.com.

Dois minutos depois, um processo do Pegasus usou dados móveis”, explicaram os pesquisadores.

A avaliação é de que um exploit sem clique no software de casa inteligente da Apple, codinome PWNYOURHOME, foi usado para entregar o spyware.

O problema foi corrigido pela Apple no iOS 16.3.1.

A atividade posterior do Pegasus observada em março de 2023 também teria explorado o mesmo exploit.

Em ambos os momentos, o dispositivo de Kouloglou estava executando o iOS 15.5.

Uma análise mais aprofundada do telefone revelou que Kouloglou recebeu notificações da Apple sobre ameaça, alertando que era alvo de spyware mercenário, em três ocasiões: 2 de março de 2023, 29 de agosto de 2023 e 10 de abril de 2024.

Curiosamente, no primeiro momento em que o telefone de Kouloglou foi invadido, ele estava internado em um hospital para uma cirurgia eletiva e havia recebido a visita do jornalista investigativo grego Thanasis Koukakis, cujo próprio telefone foi comprometido com o spyware Predator, da Intellexa, e que havia deposto diante da Comissão PEGA um mês antes.

O momento da segunda infecção, em março de 2023, também chama atenção, já que coincidiu com discussões intensas relacionadas à redação final do relatório, seguidas por uma série de audiências da PEGA.

O episódio ocorreu dois meses antes da adoção do primeiro relatório da comissão.

O caso marca a primeira vez que um integrante da Comissão PEGA é identificado publicamente como vítima do spyware Pegasus enquanto exercia suas funções no colegiado.

A ligação entre o caso de Kouloglou e a campanha contra jornalistas independentes e ativistas da oposição, falantes de russo e bielorrusso e baseados na Europa, se apoia no uso do mesmo endereço de e-mail, rauharepo888[@]gmail.com.

“Em nosso entendimento da infraestrutura de infecção do Pegasus nesse período, acreditamos que esses e-mails são exclusivos de operadores específicos”, disse o Citizen Lab.

“Não conseguimos afirmar se a segunda infecção em 2023 também está ligada a esse operador ou a um operador diferente.”

“Com base no que sabemos sobre o licenciamento da NSO Group, isso provavelmente indica que o cliente tinha uma licença que permitia infecções em várias jurisdições da União Europeia, reduzindo a lista de possíveis operadores do Pegasus que podem ser responsáveis por este caso.”

As conclusões levantam novas preocupações sobre a forma como governos recorrem a spyware supostamente voltado ao combate de crimes graves, como terrorismo e abuso sexual infantil, para espionar comunicações de jornalistas, parlamentares, dissidentes e críticos.

A divulgação ocorre poucos dias depois de o Citizen Lab revelar que autoridades russas usaram ferramentas forenses UFED, da Cellebrite, para acessar o iPhone do ativista de oposição detido Andrey Pivovarov em junho de 2021, três meses depois de a Cellebrite anunciar que deixaria de oferecer suas ferramentas e serviços à Rússia e à Belarus.

“As autoridades procuraram nos dispositivos de Pivovarov organizações e contatos importantes, além de figuras de destaque da oposição”, informou o Citizen Lab.

“Entre os termos pesquisados estavam Mikhail Khodorkovsky, fundador da Open Russia, Anastasiya Burakova, que na época era advogada de direitos humanos da Open Russia e hoje lidera um grupo antguerra de grande projeção, e Tatiana Usmanova, ex-coordenadora da Open Russia e parceira de Pivovarov.”

Algumas dessas pessoas, incluindo Burakova, mais tarde foram alvo de uma campanha de phishing orquestrada por um grupo de hackers russo conhecido como COLDRIVER, o que levanta a possibilidade de que o uso das ferramentas da Cellebrite tenha ajudado a viabilizar a coleta de informações e a ampliar a vigilância contra outros opositores do regime no exterior.

Em abril, o Citizen Lab também revelou duas campanhas de espionagem distintas e de longa duração que abusam de fraquezas conhecidas na infraestrutura global de telecomunicações para rastrear a localização de pessoas.

Notavelmente, esses ataques não exigem a implantação de malware, o que os torna discretos e mais difíceis de detectar.

Uma das campanhas funcionava pelo envio de um tipo especial de mensagem de texto com comandos SMS maliciosos e ocultos às vítimas, com o objetivo de “transformar o dispositivo em uma baliza de rastreamento clandestina”, disse o relatório.

A segunda campanha explorava fraquezas nos protocolos de sinalização Signaling System No.

7 (SS7) e Diameter para acompanhar a localização de uma pessoa sem precisar acessar seus dispositivos.

Segundo a investigação, as duas campanhas abusaram de três provedores específicos de telecomunicações, 019Mobile, Airtel Jersey, parte do grupo Sure, e Tango Networks U.K., que atuam como “pontos de entrada e trânsito de vigilância dentro do ecossistema de telecomunicações” e “permitem que o tráfego circule por interconexões de sinalização confiáveis, ao mesmo tempo em que concedem acesso a threat actors que se escondem atrás de sua infraestrutura”.

“Ambos os agentes usaram ferramentas de vigilância personalizadas para falsificar identidades de operadoras, manipular protocolos de sinalização e direcionar o tráfego por caminhos específicos de interconexão de rede para driblar defesas e ocultar a atribuição”, afirmou a organização de direitos digitais.

“As descobertas expõem como supostos fornecedores comerciais de vigilância exploram o ecossistema global de interconexão de telecomunicações, aproveitam redes privadas de operadoras e conduzem operações clandestinas de rastreamento de localização que podem permanecer indetectadas por anos.”

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...