Parlamentar europeu que investigava spyware teve celular invadido pelo Pegasus
- Cyber Security Brazil
- há 12 minutos
- 5 min de leitura

Um novo relatório do Citizen Lab revelou que Stelios Kouloglou, ex-membro do Parlamento Europeu, teve seu iPhone invadido repetidas vezes pelo spyware Pegasus enquanto integrava uma comissão criada justamente para investigar o uso abusivo de ferramentas comerciais de vigilância na União Europeia.
Segundo os pesquisadores John Scott-Railton, Bill Marczak, Bahr Abdul Razzak, Kate Pundyk, Siena Anstis e Ron Deibert, a análise forense do dispositivo indicou que os invasores podem ter acessado documentos confidenciais e deliberações internas da comissão parlamentar. Até o momento, as infecções não foram atribuídas publicamente a um governo específico, e o Citizen Lab afirmou não haver evidências de que o governo da Grécia esteja por trás da atividade.
Ainda assim, o laboratório canadense identificou uma sobreposição entre a primeira infecção no aparelho de Kouloglou e uma campanha anterior contra jornalistas e ativistas exilados de língua russa e bielorrussa na Europa. Essa ligação sugere, segundo os pesquisadores, que um cliente do Pegasus com autorização para operar em múltiplos países europeus provavelmente esteve envolvido na operação.
Kouloglou integrou o “Committee of Inquiry to investigate the use of Pegasus and equivalent surveillance spyware”, conhecido como Comitê PEGA, entre 24 de março de 2022 e 18 de julho de 2023. A comissão havia sido criada em 10 de março de 2022 para apurar denúncias de uso indevido de spyware comercial sob a legislação da União Europeia, com foco em identificar até que ponto Estados-membros e outros países estavam empregando essas ferramentas de forma incompatível com direitos e liberdades fundamentais da região.
A análise forense feita pelo Citizen Lab a partir de artefatos coletados do iPhone de Kouloglou em maio de 2026 concluiu que o aparelho foi comprometido com o Pegasus por volta de 21 de outubro de 2022 e novamente nos dias 6 e 7 de março de 2023. Nas duas ocasiões, o dispositivo executava o iOS 15.5.
No primeiro ataque, os pesquisadores observaram uma consulta a um endereço de e-mail associado ao HomeKit, rauharepo888[@]gmail.com. Dois minutos depois, um processo ligado ao Pegasus usou dados móveis no aparelho. A avaliação do Citizen Lab é que os invasores exploraram uma vulnerabilidade zero-click no software de casa inteligente da Apple, identificada pelo codinome PWNYOURHOME, para instalar o spyware sem exigir interação da vítima. A falha foi corrigida pela Apple no iOS 16.3.1.
A atividade observada em março de 2023 também teria usado o mesmo exploit. O Citizen Lab informou ainda que Kouloglou recebeu notificações da Apple alertando sobre tentativas de ataque com spyware mercenário em três ocasiões: 2 de março de 2023, 29 de agosto de 2023 e 10 de abril de 2024.
O momento das infecções aumenta a gravidade do caso. Durante a primeira invasão, em outubro de 2022, Kouloglou estava internado para uma cirurgia eletiva e havia recebido a visita do jornalista investigativo grego Thanasis Koukakis. Koukakis também foi vítima de spyware, mas com o Predator, ferramenta associada à Intellexa, e havia testemunhado perante o Comitê PEGA um mês antes.
A segunda infecção, em março de 2023, coincidiu com discussões intensas sobre a redação final do relatório da comissão e com uma série de audiências do Comitê PEGA. O ataque ocorreu cerca de dois meses antes da adoção do primeiro relatório produzido pela comissão.
O caso marca a primeira vez em que um membro do Comitê PEGA é publicamente identificado como vítima do Pegasus enquanto exercia função dentro da própria comissão criada para investigar esse tipo de abuso. Para os pesquisadores, a possibilidade de acesso a documentos internos e discussões confidenciais levanta preocupações diretas sobre espionagem política, interferência institucional e proteção de processos democráticos.
A conexão entre o caso de Kouloglou e a campanha contra jornalistas independentes e ativistas de oposição russos e bielorrussos na Europa se baseia no uso do mesmo endereço rauharepo888[@]gmail.com. Segundo o Citizen Lab, dentro da infraestrutura de infecção do Pegasus observada naquele período, esses e-mails parecem ser únicos para operadores específicos. Os pesquisadores, porém, afirmaram não ser possível determinar se a segunda infecção de 2023 foi conduzida pelo mesmo operador ou por outro.
Com base no modelo de licenciamento conhecido do NSO Group, desenvolvedor do Pegasus, o Citizen Lab avalia que o caso provavelmente aponta para um cliente com licença capaz de realizar infecções em várias jurisdições da União Europeia. Isso reduz o conjunto de possíveis operadores, embora não permita uma atribuição pública definitiva.
As descobertas reacendem preocupações sobre o uso de spyware comercial vendido oficialmente para combater crimes graves, como terrorismo e abuso sexual infantil, mas empregado em diversos casos contra jornalistas, parlamentares, dissidentes, ativistas e críticos de governos. O Pegasus é uma das ferramentas mais conhecidas desse mercado por sua capacidade de comprometer dispositivos móveis, acessar mensagens, arquivos, microfone, câmera e outros dados sensíveis.
O relatório também se soma a outras investigações recentes do Citizen Lab sobre ferramentas de vigilância digital. Dias antes, o laboratório havia revelado que autoridades russas usaram ferramentas forenses UFED, da Cellebrite, para acessar o iPhone do ativista de oposição Andrey Pivovarov em junho de 2021. O caso ocorreu três meses depois de a Cellebrite anunciar que deixaria de oferecer produtos e serviços à Rússia e à Bielorrússia.
De acordo com o Citizen Lab, as autoridades buscaram nos dispositivos de Pivovarov nomes de organizações, contatos e figuras de destaque da oposição, incluindo Mikhail Khodorkovsky, fundador da Open Russia; Anastasiya Burakova, então advogada de direitos humanos ligada à Open Russia e hoje líder de um grupo antiguerra; e Tatiana Usmanova, ex-coordenadora da Open Russia e parceira de Pivovarov.
Algumas dessas pessoas, incluindo Burakova, foram posteriormente alvo de uma campanha de phishing atribuída ao grupo hacker russo COLDRIVER. Para os pesquisadores, isso levanta a possibilidade de que o uso das ferramentas da Cellebrite tenha contribuído para atividades de reconhecimento e facilitado novos alvos de vigilância contra opositores do regime no exterior.
Em abril, o Citizen Lab também revelou duas campanhas de espionagem de longa duração que exploravam fraquezas conhecidas na infraestrutura global de telecomunicações para rastrear a localização de pessoas. Diferentemente de ataques com spyware instalado diretamente no aparelho, essas operações não exigiam a implantação de malware, o que as torna mais discretas e difíceis de detectar.
Uma das campanhas usava mensagens SMS especiais com comandos ocultos maliciosos para transformar o dispositivo em uma espécie de sinalizador de rastreamento. A outra explorava fragilidades nos protocolos de sinalização SS7 e Diameter, usados por operadoras de telecomunicações, para acompanhar a localização de indivíduos sem acesso direto aos aparelhos.
Segundo o Citizen Lab, as campanhas abusaram de três provedores específicos: 019Mobile, Airtel Jersey, parte da Sure Group, e Tango Networks U.K. Essas empresas teriam funcionado como pontos de entrada e trânsito para vigilância dentro do ecossistema de telecomunicações, permitindo que tráfego passasse por interconexões consideradas confiáveis enquanto os operadores ocultavam sua atribuição por trás dessa infraestrutura.
Os pesquisadores afirmaram que os operadores usaram ferramentas de vigilância personalizadas para falsificar identidades de operadoras, manipular protocolos de sinalização e direcionar tráfego por rotas específicas de interconexão, com o objetivo de contornar defesas e dificultar atribuição.
O conjunto das descobertas mostra como fornecedores comerciais de vigilância e seus clientes exploram diferentes camadas da infraestrutura digital, de smartphones e sistemas operacionais a redes de telecomunicações. No caso de Kouloglou, o impacto é especialmente sensível porque o alvo não era apenas um parlamentar, mas um integrante de uma comissão encarregada de investigar o próprio mercado de spyware e seus abusos na Europa.


