Po tym jak w wyborach z 2005 roku Ayman Nour rzucił wyzwanie urzędującemu od niemal 30 lat prezydentowi Egiptu Hosniemu Mubarakowi, trafił do więzienia. Po wyjściu na wolność nie zrezygnował z działalności politycznej i głośno zaczął sprzeciwiać się nowemu przywódcy państwa – marszałkowi al-Sisiemu. Z tego powodu został zmuszony do ucieczki z kraju. Zamieszkał w Turcji i wciąż pozostaje zdecydowanym krytykiem władz w Kairze, które nazywa „represyjnym, militarnym reżimem". Choć od jego wyjazdu z Egiptu upłynęło już ponad osiem lat, rząd Sisiego nie zapomniał o Nourze. Pod koniec grudnia 2021 roku eksperci z kanadyjskiej grupy badawczej Citizen Lab ustalili, że jego iPhone został zainfekowany programem szpiegującym Pegasus. Podejrzenia mężczyzny wzbudziło to, że telefon cały czas był bardzo nagrzany. Jakby tego było mało, analitycy odkryli, że urządzenie równolegle zostało zhakowane nowym, nieznanym do tej pory systemem o nazwie Predator. Najprawdopodobniej za oboma atakami stoją egipskie służby. Rynek komercyjnego oprogramowania szpiegującego ma do zaoferowania więcej zaawansowanych narzędzi, niż uważali dotychczas eksperci.
Od Macrona do Giertycha
Od kiedy w 2016 roku analitycy Citizen Lab po raz pierwszy napisali o firmie NSO Group, założonej przez byłych pracowników elitarnej jednostki izraelskiego wywiadu „8200", oraz o stworzonym przez nią systemie Pegasus, temat ten co jakiś czas powraca na czołówki światowych mediów. Najczęściej dzieje się to przy okazji doniesień o tym, że służby krajów, które kupiły program oficjalnie przeznaczony do zwalczania terroryzmu, wykorzystują go do szpiegowania przeciwników politycznych. Tak było np. w przypadku znanego obrońcy praw człowieka ze Zjednoczonych Emiratów Arabskich (ZEA) Ahmeda Mansoora. Citizen Lab ustalił, że jego telefon został zainfekowany Pegasusem. W 2017 roku system ten został użyty przeciwko kilkunastu meksykańskim dziennikarzom piszącym o aferze korupcyjnej w rządzie. Z kolei w Arabii Saudyjskiej tamtejsze władze wykorzystały program, by włamać się do telefonów ponad 30 dziennikarzy telewizji Al-Dżazira.
W lipcu 2021 roku konsorcjum 17 redakcji, w tym „Guardiana", „Le Monde" i „Washington Post", opublikowało wyniki swojego śledztwa dotyczącego Pegasusa. Dziennikarze przeanalizowali ponad 50 tys. numerów, które mogły być szpiegowane przez klientów NSO Group. Udało im się zidentyfikować 1 tys. osób z 50 krajów. Wśród nich trzech prezydentów, w tym Emmanuel Macron, dziesięciu ministrów, król Maroka oraz 189 pracowników mediów i 85 obrońców praw człowieka. Przebadano 67 telefonów. W 37 znaleziono Pegasusa. Oprogramowanie szpiegujące miano wykorzystać m.in. wobec narzeczonej zamordowanego przez saudyjskie służby Dżamala Chaszodżiego. Podsłuchiwani mieli być też węgierscy dziennikarze niezależnego portalu Direkt36. Ustalono, że z systemu NSO Group korzystały rządy co najmniej dziesięciu państw, w tym Azerbejdżanu, Kazachstanu, Meksyku, Arabii Saudyjskiej, Węgier i ZEA. Te ustalenia przeczą zapewnieniom izraelskiej firmy o tym, że nie świadczy usług krajom autorytarnym.
W grudniu media pisały, że Pegasusa znaleziono w telefonach 11 amerykańskich dyplomatów pracujących w Ugandzie. W tym samym miesiącu Citizen Lab poinformował, że oprogramowanie wykorzystano do szpiegowania mecenasa Romana Giertycha, prokurator Ewy Wrzosek oraz polityka Koalicji Obywatelskiej Krzysztofa Brejzy. Analitycy nie podali, kto nad Wisłą posługiwał się programem, ale już w 2018 roku TVN 24 donosił, że zakupiło go CBA.
Telefon każdej z wymienionych wyżej osób mógł zostać zainfekowany na trzy sposoby. Pierwszy sposób opiera się po prostu na wykradzeniu przez służby urządzenia i zainstalowania na nim Pegasusa. Druga metoda nie wymaga fizycznego kontaktu ze smartfonem. – Najczęściej to wiadomość SMS. Jej treść ma skłonić ofiarę do kliknięcia w złośliwy link. Dzięki temu dochodzi do infekcji – mówi „Plusowi Minusowi" Claudio Guarnieri, dyrektor należącego do Amnesty International Security Lab, które badało Pegasusa. Trzeci, najbardziej zaawansowany, sposób jest nazywany „zero-click". – NSO Group zapewnia ataki na istniejące nieznane luki w oprogramowaniu iOS oraz Android, które pozwalają programowi szpiegującemu na zainfekowanie urządzenia zdalnie, bez żadnej interakcji ze strony jego użytkownika – tłumaczy Juan Andrés Guerrero Saade, ekspert ds. cyberbezpieczeństwa w firmie SentinelOne oraz wykładowca na Johns Hopkins University.