Стелиос Кулоглу, бивш член на Европейския парламент (евродепутат), който е служил в комисията, разследваща злоупотребите с шпионския софтуер Pegasus, е бил многократно заразяван с шпионския софтуер Pegasus на NSO Group по време на своя мандат, според нови криминалистични разкрития от Citizen Lab.

Констатацията отбелязва първия път, когато член на комисията PEGA е публично идентифициран като жертва на Pegasus, докато активно участва в разследването.

Кулоглу е служил като заместник-член на Анкетната комисия на Европейския парламент за разследване на използването на Pegasus и еквивалентен шпионски софтуер за наблюдение (комисията PEGA) от март 2022 г. до юли 2023 г. Криминалистичният анализ на неговия iPhone, извършен след като се е свързал с Citizen Lab през май 2026 г., разкрива, че устройството му е било компрометирано в няколко момента по време на най-чувствителните обсъждания на комисията.

Устройството на Кулоглу е било заразено с Pegasus на 21 октомври 2022 г. и отново на 6-7 март 2023 г. Първата инфекция е използвала експлойта с нулево кликване (zero-click) PWNYOURHOME, доказан от търсене на имейл адрес, свързан с HomeKit (rauharepo888@gmail.com), последвано от мрежова активност на Pegasus две минути по-късно.

Apple е изпратила известия за заплахи до Кулоглу в три отделни случая: 2 март 2023 г., 29 август 2023 г. и 10 април 2024 г. Той не си спомня да ги е виждал.

И двете дати на заразяване съвпадат точно с периоди на интензивна дейност на комисията PEGA, включително подготовка на изслушвания, разпространение на проектодоклади и посещения на международни делегации.

Заразяването през октомври 2022 г. е станало десет дни преди посещението на делегацията на PEGA в Кипър и Гърция, което Кулоглу е помогнал да се планира и към което лично се е присъединил. То съвпада и с изготвянето на първия доклад на комисията, голяма част от който се е обсъждал чрез текстови съобщения и имейли между членовете и служителите.

Прави впечатление, че точната дата на заразяване съвпада с времето, когато Кулоглу е бил хоспитализиран за планова операция. На същия ден той е бил посетен от гръцкия разследващ журналист Танасис Кукакис, който по-рано е свидетелствал пред PEGA, че е бил таргетиран с шпионския софтуер Predator на Intellexa.

Тъй като заразяването е станало по време на болничен престой, Citizen Lab отбелязва, че е възможно шпионският софтуер да е заснел поверителна медицинска информация, което потенциално засяга гръцкия закон за защита на данните.

Втората инфекция, през март 2023 г., е станала, докато Кулоглу е бил в Брюксел по време на финалните преговори по доклада на комисията – и е съвпаднала с отделно посещение на делегация, свързана с PEGA, в Гърция от докладчика Софи ин 'т Велд.

Citizen Lab се въздържа от приписване на хакерството на конкретно правителство, като изрично заявява, че не е открила доказателства гръцкото правителство да е отговорно за това и няма индикации Гърция някога да е била клиент на NSO Group.

Вместо това изследователите са идентифицирали припокриване: същият имейл, свързан с HomeKit, използван при първата инфекция на Кулоглу, се появява и в съвместен доклад от 2024 г. с Access Now, документиращ насочването на Pegasus срещу руско- и беларускоговорящи заточени журналисти и активисти в цяла Европа.

Кулоглу не е първият евродепутат, за когото е установено, че е бил хакнат с наемен шпионски софтуер. Каталунските евродепутати Диана Риба, Жорди Соле и Карлес Пучдемон по-рано бяха потвърдени като цели на Pegasus, както и гръцкият евродепутат Никос Андрулакис (Predator).

Наскоро френският евродепутат Натали Лоазо и германският евродепутат Даниел Фройнд потвърдиха, че са били обект на шпионски софтуер през 2024 г. Въпреки това Кулоглу е първият член на комисията PEGA, идентифициран като компрометиран, докато активно служи в самото разследване.