El laboratorio Citizen Lab, de la Universidad de Toronto, confirmó que el periodista griego y ex eurodiputado Stelios Kouloglou fue hackeado con el spyware Pegasus en octubre de 2022 y al menos dos veces en marzo de 2023, mientras formaba parte de la comisión PEGA del Parlamento Europeo, encargada de investigar los abusos de herramientas de vigilancia telefónica por parte de gobiernos europeos. Es la primera vez que se identifica públicamente a un miembro de esa comisión como víctima de este tipo de espionaje.
El ataque explotó una vulnerabilidad sin clic en el software del iPhone, ya parchada pero sin actualizar en el dispositivo de Kouloglou, y permitió extraer mensajes, ubicación, fotos y datos personales sin su intervención. El pirateo de octubre de 2022 coincide con intensas deliberaciones internas previas a un borrador sobre abusos en Chipre, Grecia, Hungría, Polonia y España; las intrusiones de marzo de 2023 ocurrieron durante sus viajes entre Atenas y Bruselas.
Los investigadores no atribuyen el ataque a un país concreto, pero vinculan la dirección de correo electrónico utilizada con la misma operatoria que hackeó teléfonos de periodistas europeos, lo que sugiere un cliente de NSO Group con autorización para espiar en varios Estados miembros. Kouloglou anunció que demandará a NSO Group y calificó el hecho de "temerario"; un eurodiputado en activo lo calificó de "ataque directo al Estado de derecho" y pidió a la Comisión Europea imponer límites estrictos al uso de spyware en la UE.
