全球已披露的Pegasus间谍软件受害者名单,如今添上了一位身份极度讽刺的新成员:一名负责调查该软件滥用的欧洲议会议员,在任内被同一款软件反复入侵。多伦多大学公民实验室(Citizen Lab)最新取证分析显示,前欧洲议会议员Stelios Kouloglou的iPhone在2022年至2023年间至少两次被植入NSO集团的Pegasus,两次感染节点全都卡在议会调查委员会最敏感的审议期。

这一发现标志着“对等监视间谍软件调查委员会”(PEGA委员会)成员首次在任内被公开确认为Pegasus的受害者。Kouloglou自2022年3月至2023年7月担任该委员会的替补成员,2026年5月他联系公民实验室后进行的取证分析,揭开了这段此前无人察觉的感染时间线。

打开网易新闻 查看精彩图片

公民实验室给出的时间线极为精确:第一次感染发生在2022年10月21日,第二次在2023年3月6日至7日。两次攻击都使用了名为PWNYOURHOME的零点击漏洞,取证证据包括一个绑定HomeKit服务的钓鱼邮箱地址(rauharepo888@gmail.com),该地址被设备查询后仅两分钟,就触发了Pegasus的网络活动。整个过程无需用户任何交互,手机便已失守。

最让人脊背发凉的是感染发生时的具体场景。2022年10月的那次植入,时值Kouloglou住院接受择期手术。同一日,曾就自身被Intellexa公司Predator间谍软件监控一事向PEGA委员会作证的希腊调查记者Thanasis Koukakis,前往医院探望了他。公民实验室特别指出,由于感染发生在住院期间,不排除间谍软件截获了受法律保护的医疗信息,此举可能涉及希腊数据保护法的违规。而仅十天后,Kouloglou就参与了他协助策划并亲自加入的PEGA代表团,前往塞浦路斯和希腊进行实地访问。彼时委员会正在起草首份调查报告,大量讨论通过短信和邮件在委员与工作人员之间流转。

第二次感染同样精准咬住了委员会的关键日程。2023年3月初,Kouloglou人在布鲁塞尔,正处于委员会报告最后谈判的节骨眼上,与此同时,报告员Sophie in 't Veld正率另一支与PEGA关联的代表团访问希腊。苹果公司曾分别于2023年3月2日、8月29日及2024年4月10日三次向Kouloglou发送威胁通知,但他均未留意。

公民实验室在归因上保持了极度审慎,明确表示未发现任何证据指向希腊政府,也没有迹象表明该国曾是NSO集团的客户。但调查人员锁定了一个技术重合点:Kouloglou第一次感染所用的HomeKit关联邮箱地址,也曾出现在2024年公民实验室与Access Now联合发布的一份报告中,该报告披露了针对说俄语和白俄罗斯语的流亡记者及活动人士的Pegasus攻击行动,受害者遍布欧洲多国。

调查间谍软件的人,被间谍软件盯上,时间点又恰好卡在每一次调查推进的高压期——这已经不是一句“巧合”能够搪塞过去的。Kouloglou的案例让人们再次审视一个更刺骨的现实:当监督者自身都被纳入监控对象的操作范围,问责的边界到底还能退到哪里。