2022年10月,希腊记者、时任欧洲议会议员Stelios Kouloglou正在医院做预定手术。同一时间,他的iPhone被Pegasus间谍软件盯上。

他不是普通目标。他当时是欧洲议会PEGA调查委员会成员,任务恰恰是调查各国政府滥用Pegasus监控记者和政客的丑闻。查间谍软件的人,被同一款间谍软件黑了手机,不止一次。

谁被黑、怎么被黑

Citizen Lab在最新报告里确认了这次入侵。这是PEGA委员会成立以来,首次有成员本人被公开证实成为Pegasus受害者。

受害者:Stelios Kouloglou,希腊记者、前欧洲议会议员

时间:2022年10月;2023年3月6-7日,至少两次

手段:零点击攻击,利用iPhone智能家居软件漏洞,用户无需点击任何链接即可被入侵

窃取内容:短信、通信记录、位置数据、照片;10月那次他正住院手术,不排除环境音也被监听

苹果早已发布补丁,但他的手机当时没装。

Kouloglou 被黑时间线 2022年10月 住院手术期间 零点击攻击 首份报告起草前 2022-2023 PEGA委员会 持续听证与 报告撰写 2023年3月6-7日 雅典飞布鲁塞尔 再次被黑 听证会期间 漏洞:iPhone智能家居软件历史漏洞,补丁已发布但未安装 窃取:短信、通信记录、位置、照片,住院期间或含环境音

Citizen Lab没有指认具体是哪国政府干的,但发现了一个关键细节:攻击方重复使用了此前入侵多名欧洲记者时用过的同一个Pegasus投放邮箱地址。这意味着背后大概率是同一个获得NSO Group授权、可以跨国操作的政府客户。

时间点很微妙。10月那波攻击,卡在PEGA委员会就塞浦路斯、希腊、匈牙利、波兰、西班牙的spyware滥用问题起草首份报告前后。3月那两次,发生在他从雅典飞布鲁塞尔参加听证会期间。

欧盟委员会和NSO在报道发布前都没有回应置评请求。Kouloglou说他打算起诉NSO。


问题不只是NSO

真正刺眼的不是NSO又惹祸了,这家公司的黑历史早就写满了。刺眼的是这次被黑的人是谁——一个手握调查权、正在写报告的欧洲议员。

天下熙熙,皆为利来。监控技术这门生意从来不是为了抓罪犯才存在,它服务的是谁买单、谁授权。

Pegasus多年来靠"打击恐怖主义和重大犯罪"这块招牌卖货,可从记者到反对派政客,再到这次的调查委员会本身,被曝光的受害者名单早把招牌撕烂了。这次不一样的地方在于,监控对象直接跳到了监督链条的最上游——查间谍软件的人自己被间谍软件盯上,等于监控工具伸手掐住了监督机制的脖子。

攻击基础设施被反复复用,说明这不是一次越界,而是一条已经跑顺的作业流程。

欧盟这边的沉默同样说明问题。PEGA委员会两年前就呼吁全欧盟收紧spyware使用规则,如今连自己人被黑都没换来一次公开表态。规则写在报告里,执行力停在纸面上。

对谁有影响

记者、活动人士、高风险人群:零点击攻击意味着防护能力进一步失效。你不需要点任何链接,设备就可能被入侵。补丁能力和实际防护之间还有一道差——漏洞已修补,但受害者手机当时没装更新。

关注隐私治理的科技读者:这件事暴露的不是技术漏洞,而是监管失效。欧盟有报告、有呼吁、有委员会,但没有执行力。监督者被监控,规则写在纸上,漏洞留在手机里。

关心欧盟监管的读者:这次事件说明,商业间谍软件的治理不是技术问题,而是政治问题。谁买单、谁授权、谁被盯上,背后是权力结构,不是合规文件。

目前公开确认受害的PEGA成员只有Kouloglou一人,不是整个委员会沦陷。NSO在美国政府采购层面大体受限,但公司本身去年刚拿到美国投资方注资,正忙着重新包装形象进入更大市场。

Kouloglou说他公开这件事是"为了民主、人权和反腐败"。这句话听着像通稿,但放在他自己就是受害者的语境里,反而更扎实一点。


监督者被监控工具反噬,规则写在纸上,漏洞却留在手机里。