Lo spyware Pegasus è stato usato per hackerare il telefono di Stelios Kouloglou, ex eurodeputato greco membro del comitato PEGA, istituito appositamente per indagare sugli abusi di Pegasus e strumenti di sorveglianza simili. Lo ha confermato Citizen Lab il 2 luglio 2026.
L'analisi forense dell'iPhone di Kouloglou ha rilevato infezioni nell'ottobre 2022 e di nuovo nel marzo 2023, mentre sedeva attivamente nel comitato incaricato di far luce proprio su questo tipo di abusi di spyware nell'UE.
Chi è Stelios Kouloglou e cos'è il comitato PEGA?
Kouloglou, giornalista investigativo greco poi diventato politico, è stato membro supplente del comitato PEGA del Parlamento europeo da marzo 2022 a luglio 2023. Il PEGA è stato istituito per indagare su come i governi UE abbiano abusato di Pegasus e software equivalenti, producendo bozze di relazione sui presunti abusi a Cipro, Grecia, Ungheria, Polonia e Spagna. Kouloglou ha richiesto lui stesso l'esame forense dopo essere diventato sospettoso, e Citizen Lab ha pubblicato i risultati come Report 194.
Come è avvenuto l'attacco
La prima infezione, il 21 ottobre 2022, ha sfruttato PWNYOURHOME, una catena di exploit zero-click che sfrutta una vulnerabilità nel software smart home di Apple: non era richiesto alcun clic, download o azione da parte di Kouloglou. Una seconda infezione è seguita all'inizio di marzo 2023. Secondo Citizen Lab, le intrusioni potrebbero aver esposto documenti riservati del comitato e deliberazioni interne, oltre ai messaggi e alle foto personali di Kouloglou.
- Bersaglio: Stelios Kouloglou, ex eurodeputato e membro del comitato PEGA.
- Spyware: Pegasus di NSO Group, veicolato tramite l'exploit zero-click PWNYOURHOME.
- Infezioni: 21 ottobre 2022 e 6-7 marzo 2023.
- Scoperta: analisi forense di Citizen Lab, richiesta dallo stesso Kouloglou, pubblicata a luglio 2026.
Una pista che porta a giornalisti russi e bielorussi
Citizen Lab non ha attribuito l'attacco a un governo specifico e afferma che non ci sono prove del coinvolgimento del governo greco. I ricercatori hanno però trovato una sovrapposizione tecnica: lo stesso indirizzo email collegato a HomeKit usato nella prima infezione di Kouloglou è comparso anche in una campagna Pegasus già documentata, rivolta a giornalisti e attivisti russi e bielorussi in esilio altrove in Europa. Ciò indica un unico cliente Pegasus con licenze per operare in più giurisdizioni europee, anziché un'operazione greca isolata.
Reazione dell'UE e nuovi appelli a limiti più severi
Kouloglou ha definito l'intrusione "sconsiderata", dichiarando ai giornalisti che ha esposto non solo scambi professionali con ministri, ma anche momenti privati con la sua famiglia. Un eurodeputato in carica ha definito l'attacco "un attacco diretto allo stato di diritto" e ha esortato la Commissione europea a imporre limiti severi all'uso dello spyware negli stati membri. La Commissione non ha risposto alle richieste di commento della stampa.
Casi come questo ricordano che nemmeno i parlamentari che indagano sugli abusi di sorveglianza ne sono esenti - e che strumenti quotidiani come una VPN, pur non potendo fermare un exploit zero-click, restano uno dei pochi livelli a disposizione di giornalisti e attivisti comuni per rendere più difficile il tracciamento di rete da parte degli stessi operatori.