Tecnologia

Espionado enquanto investigava: Pegasus infectou celular de eurodeputado do comitê anti-spyware

Análise forense do Citizen Lab confirma que o grego Stelios Kouloglou, integrante do Comitê PEGA do Parlamento Europeu, foi hackeado duas vezes com Pegasus durante fases decisivas do inquérito sobre spyware — e a identidade de quem ordenou

Por R.A.A. · 03 de julho de 2026 · 6 min
Espionado enquanto investigava: Pegasus infectou celular de eurodeputado do comitê anti-spyware

A vítima é Stelios Kouloglou, jornalista investigativo grego e ex-eurodeputado, que integrou como membro suplente o Comitê PEGA entre março de 2022 e julho de 2023. Segundo a análise forense do seu iPhone, as infecções ocorreram em 21 de outubro de 2022 e novamente em 6 e 7 de março de 2023 — datas que coincidem, com precisão desconfortável, com fases sensíveis das deliberações do comitê.

É o primeiro caso publicamente identificado de um membro do PEGA hackeado com Pegasus durante o exercício da função. A descoberta transforma uma suspeita abstrata — a de que a vigilância mercenária ameaça o próprio escrutínio democrático — em evidência forense documentada.

Um exploit invisível, três alertas ignorados

De acordo com o relatório do Citizen Lab, a primeira infecção usou o exploit zero-click apelidado de PWNYOURHOME, que não exige qualquer clique da vítima: o ataque combinava um arquivo malicioso entregue via HomeKit — o sistema de casa inteligente da Apple — com conteúdo que atravessava o BlastDoor, a camada de proteção do iMessage. A Apple mitigou a falha no iOS 16.3.1; o aparelho de Kouloglou, nas datas dos ataques, rodava o iOS 15.5.

Segundo o The Hacker News, a análise forense dos artefatos do iPhone foi realizada em maio de 2026, quando Kouloglou procurou o laboratório — quase quatro anos após o primeiro comprometimento.

Há um detalhe que expõe uma falha sistêmica: o relatório documenta que Kouloglou recebeu três notificações de ameaça da Apple sobre spyware mercenário — em março de 2023, agosto de 2023 e abril de 2024 — e afirma não se recordar de ter visto nenhuma delas. Os alertas, enviados em lotes e com meses de atraso, não cumpriram sua função mais básica: fazer o alvo perceber que era alvo.

O timing que não parece coincidência

A cronologia reconstituída pelo Citizen Lab é o núcleo investigativo do caso. A primeira infecção, em 21 de outubro de 2022, ocorreu dias antes de uma sequência de audiências do PEGA sobre big techs, privacidade eletrônica e direitos fundamentais — e no exato período em que rascunhos do primeiro relatório do comitê circulavam entre membros e assessores, majoritariamente por mensagens de texto e e-mail. Dez dias depois, o comitê embarcaria em missão oficial ao Chipre e à Grécia, viagem de cujo planejamento Kouloglou participava.

O cenário da infecção adiciona uma camada peculiar: naquele dia, Kouloglou estava hospitalizado para uma cirurgia eletiva em Atenas. Recebeu no quarto a visita do jornalista investigativo Thanasis Koukakis — ele próprio confirmado como vítima do spyware Predator, da Intellexa, e testemunha ouvida pelo PEGA semanas antes. Koukakis fotografou o encontro. O relatório observa que, se o spyware capturou conversas no quarto ou dados médicos no aparelho, o caso pode implicar as proteções reforçadas da legislação grega para dados de saúde.

A segunda infecção, em 6 e 7 de março de 2023, encontrou Kouloglou em Bruxelas, em meio às discussões finais do relatório do comitê — adotado dois meses depois. No mesmo intervalo, a relatora do PEGA, Sophie in ‘t Veld, estava na Grécia questionando autoridades sobre o escândalo local de vigilância.

A pista que aponta para fora da Grécia

O Citizen Lab afirma com alta confiança que o spyware era o Pegasus, da israelense NSO Group — mas não atribui as infecções a nenhum cliente específico. E, contrariando o palpite mais óbvio, declara não ter encontrado indícios de responsabilidade do governo grego: apesar do escândalo doméstico envolvendo o Predator, não há registro de que a Grécia seja ou tenha sido cliente da NSO.

A pista mais concreta aponta em outra direção. O endereço de e-mail usado na infecção via HomeKit — rauharepo888[@]gmail.com — é o mesmo identificado em um relatório de 2024 do Citizen Lab com a Access Now sobre uma campanha de Pegasus contra jornalistas independentes e ativistas exilados de língua russa e bielorrussa na Europa. Na avaliação dos pesquisadores, esses endereços são únicos por operador — o que sugere que o mesmo cliente da NSO esteve por trás de ambos os casos.

Como as infecções de Kouloglou ocorreram em pelo menos duas jurisdições (Grécia e Bélgica), o relatório conclui que o operador provavelmente detinha licença da NSO para agir em múltiplos países da União Europeia — um detalhe que estreita a lista de suspeitos, mas não a fecha.

“É totalmente absurdo que nada esteja sendo feito”, disse a eurodeputada alemã Hannah Neumann, ex-integrante do PEGA, ao The Record, criticando a inação europeia diante da persistente “falsa noção de que o spyware contribui para a segurança” (em tradução livre).

Um parlamento sob vigilância — e uma Comissão parada

O caso Kouloglou não é um ponto fora da curva; é o mais recente de uma série. O próprio relatório recapitula que quatro eurodeputados catalães foram alvos diretos ou indiretos do Pegasus antes mesmo da criação do PEGA — três deles depois integraram o comitê. Em 2024, a francesa Nathalie Loiseau, presidente da subcomissão de segurança e defesa, confirmou ter sido alvo do Pegasus, e o alemão Daniel Freund anunciou ter sido visado pelo spyware da Candiru.

O pano de fundo político agrava o quadro: o PEGA entregou suas recomendações em junho de 2023, e, segundo o The Record, a Comissão Europeia as ignorou em grande parte desde então — omissão que pesquisadores e dezenas de parlamentares classificam como indesculpável. O Citizen Lab agora recomenda triagem forense imediata de todos os ex-membros e assessores do PEGA, investigação formal pelo Parlamento Europeu e relatórios anuais sobre ameaças de vigilância à instituição.

Ao CyberScoop, o pesquisador sênior John Scott-Railton resumiu o mecanismo: entregar ferramentas de vigilância de firmas mercenárias a agências altamente secretas é “uma receita para o abuso de poder” (em tradução livre) — e previu que virão mais parlamentares hackeados.

O que a evidência não diz

O rigor exige demarcar as lacunas. Primeiro: não há atribuição. O Citizen Lab não afirma qual governo operou o Pegasus contra Kouloglou, e a sobreposição de infraestrutura com a campanha contra exilados russos e bielorrussos é um indício investigativo, não uma conclusão — o próprio laboratório admite não saber se a segunda infecção, de 2023, pertence ao mesmo operador.

Segundo: a ausência de indícios contra a Grécia não é prova de inocência definitiva, mas tampouco autoriza a conclusão inversa; não há evidência técnica de que serviços gregos tenham tido acesso ao Pegasus. Terceiro: as limitações dos dados forenses significam que podem ter existido outras infecções não capturadas — para mais ou para menos, o quadro é incompleto. Por fim, a NSO Group sustenta comercialmente que o Pegasus é vendido apenas a agências governamentais autorizadas para combate ao crime e ao terrorismo, posição registrada na cobertura da Al Jazeera; até a publicação das reportagens citadas, não localizamos resposta pública da empresa a este caso específico.

Conclusão

O que o caso estabelece com segurança é isto: um investigador oficial de abusos de spyware na Europa foi espionado, com o mesmo spyware que investigava, durante os períodos em que o material mais sensível do inquérito circulava — e ninguém foi responsabilizado, três anos depois. O que permanece aberto é a pergunta que deveria tirar o sono das instituições europeias: se nem o comitê criado para vigiar os vigilantes estava protegido, quantos dos seus colegas votam, negociam e deliberam hoje com um espião no bolso?


Fontes

ArcaVox · 03 de julho de 2026

Continuar lendo

Mais em Tecnologia

Os arquivos que o Pentágono não conseguiu mais esconder
OVNI's

Os arquivos que o Pentágono não conseguiu mais esconder

Em maio de 2026, o Pentágono liberou 162 arquivos sobre UAPs — vídeos militares, transcrições da Apollo, relatos de pilotos. O site war.gov/ufo recebeu um bilhão de acessos. David Grusch é conselheiro do Congresso. O programa secreto ‘Immac

C.J.A. · 30 de maio de 2026 · 8 min