Um novo relatório do Citizen Lab revela que o antigo eurodeputado Stelios Kouloglou teve o telemóvel comprometido, por diversas vezes, com o spyware Pegasus — precisamente enquanto integrava a comissão do Parlamento Europeu criada para investigar o abuso destas ferramentas de vigilância comercial na União Europeia. É a primeira vez que um membro dessa comissão é publicamente identificado como vítima do Pegasus durante o exercício das suas funções.
Espiado enquanto investigava a espionagem
Kouloglou foi membro da Comissão de Inquérito para investigar a utilização do Pegasus e software de vigilância equivalente (Comissão PEGA) entre 24 de março de 2022 e 18 de julho de 2023. A comissão fora constituída em março de 2022 para averiguar alegados abusos de spyware comercial à luz do direito da UE, com foco em determinar em que medida os Estados-membros e outros países utilizavam estas ferramentas em violação dos direitos e liberdades europeus.
Segundo os investigadores do Citizen Lab — laboratório interdisciplinar da Universidade de Toronto —, a análise forense do dispositivo indica que os atacantes poderão ter tido acesso a documentos confidenciais e a deliberações da própria comissão, o que agrava a dimensão do caso.
Um exploit zero-click no HomeKit da Apple
A perícia a artefactos recolhidos do iPhone de Kouloglou em maio de 2026 concluiu que o aparelho foi comprometido com o Pegasus por volta de 21 de outubro de 2022 e, novamente, a 6 e 7 de março de 2023. Em ambos os momentos, o dispositivo corria o iOS 15.5.
O vetor de infeção terá sido um exploit zero-click — que não exige qualquer interação da vítima — no software de casa inteligente da Apple, o HomeKit, com o nome de código PWNYOURHOME. Os investigadores documentaram que, minutos antes de um processo do Pegasus começar a usar dados móveis, houve uma consulta a um endereço de e-mail associado ao HomeKit. A Apple corrigiu esta vulnerabilidade no iOS 16.3.1.
De acordo com o relatório, Kouloglou recebeu da Apple notificações de ameaça por estar a ser alvo de spyware mercenário em três ocasiões distintas: 2 de março de 2023, 29 de agosto de 2023 e 10 de abril de 2024.
Coincidências temporais que reforçam a gravidade
O momento das infeções é revelador. Durante a primeira, Kouloglou encontrava-se hospitalizado para uma cirurgia e recebera a visita do jornalista de investigação grego Thanasis Koukakis — ele próprio vítima do spyware Predator, da Intellexa, e que testemunhara perante a Comissão PEGA no mês anterior. A segunda infeção, em março de 2023, coincidiu com a fase intensa de redação final do relatório da comissão e com uma série de audições, poucas semanas antes da adoção do primeiro relatório da PEGA.
Sem atribuição a um governo, mas com pistas
O Citizen Lab não atribui, para já, as infeções a nenhum governo em concreto, e sublinha não haver indícios de envolvimento do governo grego. Contudo, identificou uma sobreposição entre a primeira infeção e uma campanha anterior dirigida a jornalistas e ativistas exilados de língua russa e bielorrussa na Europa — ligação assente na utilização de um mesmo endereço de e-mail que os investigadores acreditam ser específico de operadores concretos do Pegasus.
Com base no que se conhece do licenciamento da NSO Group, fabricante do Pegasus, isto sugere que o responsável terá sido um cliente com autorização para infetar dispositivos em múltiplas jurisdições da UE, o que estreita a lista de potenciais operadores.
Parte de um padrão mais amplo de vigilância
Esta revelação surge dias depois de o Citizen Lab ter divulgado que as autoridades russas usaram as ferramentas forenses UFED da Cellebrite para aceder ao iPhone do ativista da oposição Andrey Pivovarov, em 2021 — meses após a Cellebrite ter anunciado que deixaria de fornecer os seus serviços à Rússia e à Bielorrússia. Em abril, o mesmo laboratório expusera ainda duas campanhas de espionagem que exploram fragilidades conhecidas na infraestrutura global de telecomunicações — nomeadamente nos protocolos de sinalização SS7 e Diameter — para rastrear a localização de indivíduos sem necessidade de instalar qualquer malware no dispositivo-alvo.
Porque é que isto importa
O caso reacende as preocupações sobre a forma como o spyware comercial — comercializado, à partida, para combater crimes graves como o terrorismo — acaba a ser usado para vigiar jornalistas, legisladores, dissidentes e críticos. Que um membro de uma comissão parlamentar dedicada justamente a investigar estes abusos tenha sido espiado durante o mandato ilustra de forma incontornável a dimensão do problema no espaço europeu.
Para os cidadãos, há também uma lição de higiene digital: manter o sistema operativo sempre atualizado é a defesa mais eficaz contra exploits zero-click, uma vez que a vulnerabilidade PWNYOURHOME foi corrigida pela Apple — os dispositivos que aplicaram a atualização deixaram de estar expostos a esse vetor. Para utilizadores de perfil de risco elevado, a Apple disponibiliza ainda o Modo de Isolamento (Lockdown Mode), concebido precisamente para reduzir a superfície de ataque a este tipo de ameaças.
Esta informação tem caráter noticioso e baseia-se no relatório do Citizen Lab e em dados divulgados publicamente.
