Espionado enquanto investigava: Pegasus infectou celular de eurodeputado do comitê anti-spyware
Análise forense do Citizen Lab confirma que o grego Stelios Kouloglou, integrante do Comitê PEGA do Parlamento Europeu, foi hackeado duas vezes com Pegasus durante fases decisivas do inquérito sobre spyware — e a identidade de quem ordenou

A vítima é Stelios Kouloglou, jornalista investigativo grego e ex-eurodeputado, que integrou como membro suplente o Comitê PEGA entre março de 2022 e julho de 2023. Segundo a análise forense do seu iPhone, as infecções ocorreram em 21 de outubro de 2022 e novamente em 6 e 7 de março de 2023 — datas que coincidem, com precisão desconfortável, com fases sensíveis das deliberações do comitê.
É o primeiro caso publicamente identificado de um membro do PEGA hackeado com Pegasus durante o exercício da função. A descoberta transforma uma suspeita abstrata — a de que a vigilância mercenária ameaça o próprio escrutínio democrático — em evidência forense documentada.
Um exploit invisível, três alertas ignorados
De acordo com o relatório do Citizen Lab, a primeira infecção usou o exploit zero-click apelidado de PWNYOURHOME, que não exige qualquer clique da vítima: o ataque combinava um arquivo malicioso entregue via HomeKit — o sistema de casa inteligente da Apple — com conteúdo que atravessava o BlastDoor, a camada de proteção do iMessage. A Apple mitigou a falha no iOS 16.3.1; o aparelho de Kouloglou, nas datas dos ataques, rodava o iOS 15.5.
Segundo o The Hacker News, a análise forense dos artefatos do iPhone foi realizada em maio de 2026, quando Kouloglou procurou o laboratório — quase quatro anos após o primeiro comprometimento.
Há um detalhe que expõe uma falha sistêmica: o relatório documenta que Kouloglou recebeu três notificações de ameaça da Apple sobre spyware mercenário — em março de 2023, agosto de 2023 e abril de 2024 — e afirma não se recordar de ter visto nenhuma delas. Os alertas, enviados em lotes e com meses de atraso, não cumpriram sua função mais básica: fazer o alvo perceber que era alvo.
O timing que não parece coincidência
A cronologia reconstituída pelo Citizen Lab é o núcleo investigativo do caso. A primeira infecção, em 21 de outubro de 2022, ocorreu dias antes de uma sequência de audiências do PEGA sobre big techs, privacidade eletrônica e direitos fundamentais — e no exato período em que rascunhos do primeiro relatório do comitê circulavam entre membros e assessores, majoritariamente por mensagens de texto e e-mail. Dez dias depois, o comitê embarcaria em missão oficial ao Chipre e à Grécia, viagem de cujo planejamento Kouloglou participava.
O cenário da infecção adiciona uma camada peculiar: naquele dia, Kouloglou estava hospitalizado para uma cirurgia eletiva em Atenas. Recebeu no quarto a visita do jornalista investigativo Thanasis Koukakis — ele próprio confirmado como vítima do spyware Predator, da Intellexa, e testemunha ouvida pelo PEGA semanas antes. Koukakis fotografou o encontro. O relatório observa que, se o spyware capturou conversas no quarto ou dados médicos no aparelho, o caso pode implicar as proteções reforçadas da legislação grega para dados de saúde.
A segunda infecção, em 6 e 7 de março de 2023, encontrou Kouloglou em Bruxelas, em meio às discussões finais do relatório do comitê — adotado dois meses depois. No mesmo intervalo, a relatora do PEGA, Sophie in ‘t Veld, estava na Grécia questionando autoridades sobre o escândalo local de vigilância.
A pista que aponta para fora da Grécia
O Citizen Lab afirma com alta confiança que o spyware era o Pegasus, da israelense NSO Group — mas não atribui as infecções a nenhum cliente específico. E, contrariando o palpite mais óbvio, declara não ter encontrado indícios de responsabilidade do governo grego: apesar do escândalo doméstico envolvendo o Predator, não há registro de que a Grécia seja ou tenha sido cliente da NSO.
A pista mais concreta aponta em outra direção. O endereço de e-mail usado na infecção via HomeKit — rauharepo888[@]gmail.com — é o mesmo identificado em um relatório de 2024 do Citizen Lab com a Access Now sobre uma campanha de Pegasus contra jornalistas independentes e ativistas exilados de língua russa e bielorrussa na Europa. Na avaliação dos pesquisadores, esses endereços são únicos por operador — o que sugere que o mesmo cliente da NSO esteve por trás de ambos os casos.
Como as infecções de Kouloglou ocorreram em pelo menos duas jurisdições (Grécia e Bélgica), o relatório conclui que o operador provavelmente detinha licença da NSO para agir em múltiplos países da União Europeia — um detalhe que estreita a lista de suspeitos, mas não a fecha.
“É totalmente absurdo que nada esteja sendo feito”, disse a eurodeputada alemã Hannah Neumann, ex-integrante do PEGA, ao The Record, criticando a inação europeia diante da persistente “falsa noção de que o spyware contribui para a segurança” (em tradução livre).
Um parlamento sob vigilância — e uma Comissão parada
O caso Kouloglou não é um ponto fora da curva; é o mais recente de uma série. O próprio relatório recapitula que quatro eurodeputados catalães foram alvos diretos ou indiretos do Pegasus antes mesmo da criação do PEGA — três deles depois integraram o comitê. Em 2024, a francesa Nathalie Loiseau, presidente da subcomissão de segurança e defesa, confirmou ter sido alvo do Pegasus, e o alemão Daniel Freund anunciou ter sido visado pelo spyware da Candiru.
O pano de fundo político agrava o quadro: o PEGA entregou suas recomendações em junho de 2023, e, segundo o The Record, a Comissão Europeia as ignorou em grande parte desde então — omissão que pesquisadores e dezenas de parlamentares classificam como indesculpável. O Citizen Lab agora recomenda triagem forense imediata de todos os ex-membros e assessores do PEGA, investigação formal pelo Parlamento Europeu e relatórios anuais sobre ameaças de vigilância à instituição.
Ao CyberScoop, o pesquisador sênior John Scott-Railton resumiu o mecanismo: entregar ferramentas de vigilância de firmas mercenárias a agências altamente secretas é “uma receita para o abuso de poder” (em tradução livre) — e previu que virão mais parlamentares hackeados.
O que a evidência não diz
O rigor exige demarcar as lacunas. Primeiro: não há atribuição. O Citizen Lab não afirma qual governo operou o Pegasus contra Kouloglou, e a sobreposição de infraestrutura com a campanha contra exilados russos e bielorrussos é um indício investigativo, não uma conclusão — o próprio laboratório admite não saber se a segunda infecção, de 2023, pertence ao mesmo operador.
Segundo: a ausência de indícios contra a Grécia não é prova de inocência definitiva, mas tampouco autoriza a conclusão inversa; não há evidência técnica de que serviços gregos tenham tido acesso ao Pegasus. Terceiro: as limitações dos dados forenses significam que podem ter existido outras infecções não capturadas — para mais ou para menos, o quadro é incompleto. Por fim, a NSO Group sustenta comercialmente que o Pegasus é vendido apenas a agências governamentais autorizadas para combate ao crime e ao terrorismo, posição registrada na cobertura da Al Jazeera; até a publicação das reportagens citadas, não localizamos resposta pública da empresa a este caso específico.
Conclusão
O que o caso estabelece com segurança é isto: um investigador oficial de abusos de spyware na Europa foi espionado, com o mesmo spyware que investigava, durante os períodos em que o material mais sensível do inquérito circulava — e ninguém foi responsabilizado, três anos depois. O que permanece aberto é a pergunta que deveria tirar o sono das instituições europeias: se nem o comitê criado para vigiar os vigilantes estava protegido, quantos dos seus colegas votam, negociam e deliberam hoje com um espião no bolso?
Fontes
- Citizen Lab — Espionage Against the European Parliament: Member of Committee Investigating Spyware Hacked with Pegasus (Relatório 194, 3/7/2026)
- Citizen Lab / Access Now — relatório de maio de 2024 sobre campanha Pegasus contra jornalistas russos e bielorrussos exilados
- The Record — Spyware found on phone of European Parliament member probing it
- Al Jazeera — EU lawmaker investigating surveillance hacked by Israeli spyware, report says
- CyberScoop — Someone infected a spyware probe overseer with spyware
- The Hacker News — European Parliament Member Investigating Spyware Was Hacked With Pegasus
ArcaVox · 03 de julho de 2026
Mais em Tecnologia

Seus Olhos São a Senha: O ICE, a FISA e o Fim da Privacidade
O DHS pediu US$ 7,5 milhões em óculos com reconhecimento facial para o ICE — que agentes já usam ilegalmente com Meta Ray-Ban. O banco da Clearview tem 1,2 bilhão de rostos. E o Senado vota antes de 12 de junho a renovação da Seção 702 da F

Os arquivos que o Pentágono não conseguiu mais esconder
Em maio de 2026, o Pentágono liberou 162 arquivos sobre UAPs — vídeos militares, transcrições da Apollo, relatos de pilotos. O site war.gov/ufo recebeu um bilhão de acessos. David Grusch é conselheiro do Congresso. O programa secreto ‘Immac

Eurodac 2.0: o rosto de cada criança num banco de dados eterno
Criado em 2003 como ferramenta administrativa para evitar pedidos múltiplos de asilo, o Eurodac entra em 2026 coletando impressões digitais e imagens faciais de crianças a partir dos seis anos, abrindo seus dados à Europol e se acoplando à
