Il 22 aprile 2018, all'aeroporto internazionale di Dubai, le autorità degli Emirati Arabi Uniti hanno arrestato Hanan Elatr, moglie del giornalista saudita Jamal Khashoggi.A 10:14 ora locale (Dubai), un funzionario degli Emirati Arabi Uniti non identificato ha acceduto al suo telefono Android, navigando manualmente nel browser Chrome verso un link di infezione Pegasus.Questo sito web, configurato per l'account NSO Group del governo degli Emirati Arabi Uniti, ha avviato l'installazione silenziosa di software di sorveglianza.Il telefono ha trasmesso 27 rapporti di stato in 40 secondi, completando il processo di compromesso in 72 secondi.

Questo incidente rappresenta un'implementazione confermata del spyware Pegasus del gruppo NSO contro un bersaglio all'interno della rete immediata di Jamal Khashoggi.Al tempo stesso, altri associati chiave, tra cui Omar Abdulaziz, il principale collaboratore di Khashoggi sui progetti dell'opposizione saudita, sono stati compromessi da Pegasus, come documentato da Citizen Lab nell'estate del 2018.NSO Group, fondato da ex ex-alunni dell'Unità 8200, sostiene che Pegasus viene venduto esclusivamente a governi esaminati per la lotta al terrorismo e al crimine grave; tuttavia, una vasta ricerca indica un diffuso implementimento contro giornalisti, attivisti e dissidenti.

Nonostante le negazioni pubbliche del CEO del gruppo NSO Shalev Hulio e le affermazioni degli avvocati aziendali sull'implausibilità tecnica dell'installazione manuale, l'analisi forense di Bill Marczak ha definitivamente stabilito l'entrata manuale dell'operatore degli Emirati Arabi Uniti dell'URL Pegasus e dei successivi rapporti del sistema.Il più ampio progetto Pegasus, avviato dopo una fuga di 50.000 potenziali bersagli a Forbidden Stories e Amnesty International, ha confermato un diffuso abuso governativo, implicando clienti come Arabia Saudita, Emirati Arabi Uniti e Ungheria nel colpare oltre 180 giornalisti e diversi capi di stato, tra cui il presidente francese Emmanuel Macron.

RICOMANDAMENTO: Le azioni legali e normative in corso, tra cui la successful lawsuit di WhatsApp che ha portato ad una compensazione da $168 milioni il 6 maggio 2025, e il posizionamento del NSO Group nell'Enterity List del Dipartimento di Commercio degli Stati Uniti, sottolineano la necessità critica di una responsabilità sostenuta all'interno dell'industria degli spyware commerciali.