Os arquivos de Pegasus: Como o NSO Spyware alcançou 50.000 telefones
Vinte e dois de abril de 2018. Aeroporto Internacional de Dubai. Uma sala de detenção.
Uma mulher de 51 anos chamada Hanan Elatr está sob custódia das autoridades dos Emirados Árabes Unidos, é uma comissária de bordo, superintendente de uma grande companhia aérea internacional, e é também esposa de um jornalista saudita chamado Jamal Khashoggi.
Seus telefones estão sentados em uma mesa, em algum lugar fora de sua vista, na posse do pessoal de segurança dos Emirados Árabes Unidos.
Às 10:14 da manhã, um funcionário dos Emirados Árabes Unidos não identificado pega um de seus telefones Android. O funcionário abre o navegador Chrome. O funcionário digita um URL na barra de endereços - passeando sobre as pequenas teclas, fazendo dois erros de digitação ao longo do caminho, e depois pressionando "go".
O endereço é um link de infecção Pegasus.O site foi construído especificamente para a conta do NSO Group do governo dos Emirados Árabes Unidos.Existe para um único propósito: instalar silenciosamente software de vigilância no telefone de um alvo.
Nos próximos quarenta segundos, o telefone envia vinte e sete relatórios de status de volta ao servidor do operador dos EAU, atualizando o progresso da instalação do spyware.
O processo total de compromisso leva setenta e dois segundos.
Hanan Elatr não sabe que nada disso está acontecendo, ela está em uma sala separada, sendo interrogada sobre seu marido.
Ela não vai saber o que foi feito ao seu telefone por mais três anos.
Seis meses depois, em 2 de outubro de 2018, o marido de Hanan Elatr entra no consulado saudita em Istambul para recuperar os documentos de que precisa para o seu próximo casamento.
Ele nunca sai.
Um esquadrão de quinze membros de agentes sauditas, vários intimamente ligados ao príncipe herdeiro Mohammed bin Salman, voou para Istambul naquela manhã em dois jatos privados, estrangulam-no dentro do consulado, desmembram-no e dispõem dos restos de uma forma que nunca foi recuperada publicamente.
O governo turco, que tem secretamente escuchado o consulado saudita, capta áudio do assassinato.
Este processo não é sobre o assassinato em si, mas foi documentado em outros lugares.
Este processo é sobre o que foi feito nos meses *antes* de ele entrar no consulado. Sobre um software desenvolvido por uma pequena empresa israelense. Sobre as pessoas que o construíram. Sobre os governos que o compraram. E sobre o mecanismo institucional que, mais de sete anos depois, ainda não produziu a plena responsabilidade pelo que foi usado para fazer.
O software é chamado Pegasus.
A empresa é chamada de NSO Group.
Este é o processo.
O NSO Group foi fundado em 2010 por três israelenses: Niv Karmi, Shalev Hulio, Omri Lavie, e o nome da empresa é construído a partir de suas iniciais.
Os três eram ex-alunos das Forças de Defesa de Israel. Karmi serviu em inteligência militar e Mossad. Hulio serviu como major na unidade de busca e resgate da IDF. A linhagem institucional que mais importava passou pela unidade 8200 - a unidade de inteligência de sinais de elite da IDF, muitas vezes descrita como a principal agência de inteligência técnica do mundo.
A Unidade 8200 é o análogo israelense da Agência de Segurança Nacional dos EUA. Seus ex-alunos - estimados em dezenas de milhares de veteranos até 2026 - formaram uma fração substancial da indústria de segurança cibernética de Israel. A equipe de pesquisa e desenvolvimento do NSO Group foi descrita, em várias fontes, como composta quase inteiramente por ex-funcionários da Unidade 8200. O programa de treinamento mais elitista da Unidade 8200, chamado ARAM, aceita apenas um punhado de recrutas e os treina em programação avançada de armas cibernéticas. Os funcionários mais valiosos do NSO Group são supostamente graduados de ARAM e programas de elite similares.
A história da origem pública dos fundadores, principalmente como contada por Hulio em inúmeras entrevistas, é a seguinte.
No final dos anos 2000, Hulio e Lavie fundaram uma empresa chamada CommuniTake, que fornecia solução remota de problemas telefônicos para operadores celulares - software que permitia que técnicos de suporte acessassem remotamente e operassem telefones de clientes para diagnosticar problemas.
Por volta de 2009, Hulio disse em entrevistas posteriores que uma agência de inteligência europeia não identificada os contatou. A agência tinha um problema. A criptografia estava impedindo a leitura de comunicações de alvos que estavam legalmente autorizados a monitorar. A agência estava interessada na tecnologia de acesso remoto da CommuniTake. Poderia ser reutilizada?
Hulio e Lavie reconheceram a oportunidade, trouxeram Niv Karmi para o Mossad e sua formação em inteligência militar, e em 2010 fundaram o NSO Group, o produto que desenvolveram e nomearam Pegasus.
A estrutura de preços da Pegasus, documentada através de documentos judiciais em litígios subsequentes, foi aproximadamente a seguinte: Cincocentos de mil dólares em taxas de configuração. Seiscentos e cinquenta mil dólares por dez dispositivos alvo simultâneos para iOS, preços semelhantes para Android. Níveis de segmentação ilimitados até aproximadamente quarenta milhões de dólares para implantação do governo de espectro completo.
Esses preços colocam a Pegasus dentro do alcance institucional de qualquer serviço de inteligência nacional.Eles explicam por que a base de clientes era exclusivamente governos.
A posição declarada da empresa, repetida em praticamente todas as respostas da imprensa, foi que o Pegasus era vendido apenas a clientes governamentais avaliados para uso no combate ao terrorismo e ao crime grave.
O comportamento real dos clientes, documentado por pesquisadores independentes durante a década seguinte, era diferente.
A partir de aproximadamente 2016, um grupo de pesquisa da Universidade de Toronto chamado Citizen Lab começou a documentar casos individuais de implantação de Pegasus.O principal investigador era um pesquisador chamado Bill Marczak.Suas metodologias eram forenses: quando ativistas, jornalistas ou dissidentes relataram comportamento telefônico anormal, Marczak realizava análises técnicas de seus dispositivos, procurando indicadores de presença de Pegasus.
Os resultados de cada caso, acumulados ao longo de cinco anos, estabeleceram um padrão.
O governo mexicano foi um dos primeiros clientes do NSO Group, assinando um contrato de vinte milhões de dólares em 2012.Citizen Lab identificou posteriormente as operações de Pegasus contra jornalistas de investigação mexicanos que haviam relatado sobre corrupção do governo, incluindo repórteres que trabalhavam no desaparecimento de quarenta e três estudantes em Iguala em 2014.Um dos jornalistas mexicanos alvo, Cecilio Pineda Birto, foi assassinado por homens armados em uma lavagem de carro em março de 2017 - semanas depois que seu número de telefone foi adicionado à lista de alvo de Pegasus México.
Os Emirados Árabes Unidos: uso documentado contra ativistas de direitos das mulheres, incluindo Loujain al-Hathloul, que foi sequestrada em 2018 e retornou à Arábia Saudita para ser presa e torturada.
O Pegasus foi implantado contra jornalistas, ativistas de direitos humanos e dissidentes, violando qualquer definição razoável de terrorismo ou crime grave.
Arábia Saudita, o usuário mais prolífico, casos que se estendem ao longo dos anos.
No verão de 2018, o Citizen Lab tinha documentado compromissos no círculo imediato de Khashoggi.
Omar Abdulaziz, um blogueiro saudita dissidente que vive no exílio no Canadá, foi o principal colaborador de Khashoggi em projetos da oposição saudita.Os dois homens tinham usado WhatsApp para discutir planos para combater a propaganda dos meios de comunicação social do Estado saudita.O telefone de Abdulaziz foi infectado com Pegasus no verão de 2018.A infecção foi atribuída pelo Citizen Lab, com alta confiança, a um operador ligado ao governo e serviços de segurança da Arábia Saudita.
O relatório do Citizen Lab sobre Abdulaziz foi publicado em 1o de outubro de 2018.Um dia depois, Khashoggi entrou no consulado saudita em Istambul.
O fato técnico do caso é incontestável: durante aproximadamente quatro meses antes do assassinato de Khashoggi, o governo saudita tinha acesso em tempo real a cada mensagem de WhatsApp trocada entre ele e seu colaborador mais próximo.
A análise forense do telefone de Hatice Cengiz, realizada como parte da investigação posterior do Projeto Pegasus, confirmou que seu telefone também foi comprometido por Pegasus durante os dias em torno do assassinato.
A análise forense do telefone de Hanan Elatr, realizada por Bill Marczak e publicada pelo *The Washington Post* em dezembro de 2021, estabeleceu que a instalação de setenta e dois segundos que ocorreu no aeroporto de Dubai seis meses antes do assassinato foi uma instalação do governo dos Emirados Árabes Unidos de Pegasus, instalada manualmente durante sua detenção.
A resposta do NSO Group à evidência do papel de Pegasus no caso Khashoggi foi consistente.
Em março de 2019, o CEO do NSO Group, Shalev Hulio, apareceu no programa de televisão dos EUA 60 Minutes. O entrevistador era Lesley Stahl. Hulio olhou para ela nos olhos. Ele disse que a NSO verificou seus registros e confirmou que a tecnologia NSO não havia sido usada contra Khashoggi ou seus parentes. Ele disse que a empresa não tinha nada a ver com o que ele chamou de assassinato horrível.
Em julho de 2021, quando a investigação do Projeto Pegasus foi publicada, Hulio repetiu a negação.Ele disse à publicação de tecnologia israelense Calcalist que a NSO verificou e que Hanan Elatr não era um alvo.Ele disse: não há vestígios de Pegasus em seu telefone porque ela não era um alvo.
Em dezembro de 2021, o Washington Post publicou a análise forense de Marczak, mostrando que o telefone de Elatr tinha sido, de fato, alvo, manualmente, por um operador dos Emirados Árabes Unidos.O advogado do NSO, Thomas Clare, respondeu que a comunicação do Post era profundamente defeituosa e que os detalhes técnicos não faziam sentido do ponto de vista técnico.Ele alegou que o Pegasus é instalado apenas remotamente, e que a instalação manual descrita na análise forense era, portanto, implausível.
O registro forense contradizia isso, pois a análise de Marczak documentou a sequência específica de caracteres digitalizados, o URL construído para a instância Pegasus do cliente dos EAU, os erros de digitação que o operador dos EAU havia feito no teclado do telefone e os vinte e sete relatórios de status que o telefone enviou de volta ao servidor durante a instalação.
O padrão de negação em todo o arquivo do caso Khashoggi foi demonstrado, no registro documental, ser inconsistente com as evidências forenses.
Em 2020, uma lista de aproximadamente cinquenta mil números de telefone foi vazada para uma organização sem fins lucrativos de jornalismo sediada em Paris chamada Forbidden Stories e para a Amnistia Internacional.
Acreditava-se que a lista fosse uma lista de alvos selecionados pelos clientes governamentais do NSO Group, que abrangeu pelo menos cinquenta países, datada de aproximadamente 2016.
Historialmente, Forbidden Stories, fundada pelo jornalista Laurent Richard, tem se concentrado em continuar o trabalho de jornalistas assassinados.O Projeto Daphne, após o assassinato da jornalista maltesa Daphne Caruana Galizia em 2017.O Projeto Cartel, após assassinatos relacionados ao cartel de drogas mexicano.O padrão era o mesmo: continuar o trabalho que atores organizados tentaram silenciar.
Esta investigação tornou-se o Projeto Pegasus.
O Forbidden Stories convidou mais de dezesseis organizações de mídia a participarem. *O Washington Post.* *O Guardian.* *Le Monde* e *Radio France.* *Die Zeit* e *Süddeutsche Zeitung*. *FRONTLINE PBS.* *Haaretz.* Índico, mexicano, húngaro, belga, sírio e outros meios regionais. Mais de oitenta jornalistas trabalharam no projeto.A análise técnica foi realizada pelo Laboratório de Segurança da Amnistia Internacional.
A reportagem do Projeto Pegasus começou a ser publicada em 18 de julho de 2021.
As descobertas foram específicas.A lista vazada incluiu pelo menos um centeno e oitenta jornalistas de vinte países, trabalhando para agências como Agence France-Presse, Al Jazeera, Associated Press, CNN, *The Economist*, *Le Monde*, *The New York Times*, Reuters, *The Wall Street Journal*, e Voice of America.Parece que pelo menos dez governos apresentaram nomes para a lista de alvo: Arábia Saudita.UAE.Bahrain.Marrocos.México.Hungria.Índia.Rwanda.Azerbaijan.Kazajstão.
Os alvos incluíram defensores dos direitos humanos, advogados, políticos da oposição, líderes empresariais, diplomatas, líderes sindicais e vários chefes de Estado.
Análise forense de sessenta e sete dos telefones alvo encontrou trinta e sete com vestígios de atividade Pegasus. vinte e três infecções confirmadas. Quatorze tentativas de infecção.
Os alvos identificados incluíram Khadija Ismayilova, uma jornalista de investigação Azerbaijão premiada. Szabolcs Panyi, uma repórter de investigação húngara cujo telefone foi comprometido por sete meses em 2019. Siddarth Varadarajan, fundador do site de notícias indiano The Wire. Omar Radi, um jornalista de investigação marroquino posteriormente preso. Anand Teltumbde, uma defensora dos direitos humanos indiana posteriormente preso. Edwy Plenel, fundador do canal de investigação francês Mediapart. Hatice Cengiz. Hanan Elatr. Loujain al-Hathloul. Princesa Latifa, filha do governante de Dubai.
Cerca de quarenta jornalistas indianos estavam na lista, sugerindo que o governo indiano usasse Pegasus apesar das negações oficiais.
O presidente francês, Emmanuel Macron.
O presidente da França estava na lista de números de telefone que um cliente não identificado da NSO havia selecionado para vigilância.
A resposta institucional foi substancial.
Em novembro de 2021, o governo Biden colocou o NSO Group na Lista de Entidades do Departamento de Comércio dos EUA, restringindo severamente o acesso do NSO à tecnologia dos EUA e às relações comerciais dos EUA.A designação foi amplamente interpretada como uma determinação de segurança nacional - o governo dos EUA concluiu que as atividades do NSO Group eram contrárias aos interesses da política externa dos EUA.
O Parlamento Europeu criou um Comitê de Investigação sobre Pegasus e Spyware Equivalente para investigar o uso de tecnologia de vigilância comercial pelos Estados-Membros da UE.O relatório final do comitê, em 2023, documentou as implementações de Pegasus por governos húngaros, poloneses, espanhóis e outros governos da UE contra políticos e jornalistas da oposição.
O Ministério da Defesa de Israel endureceu as restrições à exportação, reduzindo a lista de países a que as empresas de vigilância israelenses poderiam vender de cem e dois para trinta e sete.
A agência de inteligência espanhola CNI viu a demissão de seu diretor, Paz Esteban, após o escândalo Catalangate, no qual dezenas de líderes independentes catalães foram alvos com Pegasus.
O México iniciou investigações e processos contra ex-funcionários que tinham comprado o Pegasus.
A ação legal mais consequente foi apresentada pelo WhatsApp.
Em maio de 2019, WhatsApp identificou uma vulnerabilidade em sua aplicação que a NSO estava explorando para entregar Pegasus a mais de quatorze centenas de usuários de WhatsApp em todo o mundo - incluindo jornalistas, ativistas dos direitos humanos e dissidentes políticos.
O caso levou cinco anos.
O Grupo NSO tentou várias defesas. Imunidade soberana estrangeira, com o argumento de que o NSO deveria ser tratado como um agente de um governo estrangeiro. O Tribunal de Distrito rejeitou isso em 2020. O Noveno Circuito afirmou. A Suprema Corte dos EUA recusou ouvir o recurso do NSO em janeiro de 2023. Restrições de direito estrangeiro à descoberta, com o argumento de que a lei israelense impedia a NSO de produzir código fonte. A juíza Phyllis Hamilton decidiu em novembro de 2023 que as reivindicações de direito estrangeiro não desculparam as obrigações de descoberta da NSO. Jurisdição pessoal. Registros divulgados em novembro de 2024 revelaram que a NSO usou tecnologia baseada nos EUA, incluindo a infraestrutura AWS, para entregar cargas úteis Pegasus. O tribunal concluiu que a NSO estava sujeita à jurisdição dos EUA.
Em 20 de dezembro de 2024, o juiz Hamilton emitiu um julgamento sumário que determinou que o NSO Group é responsável por todas as reclamações, sendo a primeira decisão judicial dos EUA a estabelecer a responsabilidade do NSO Group por conduta relacionada com Pegasus.
Em 6 de maio de 2025, o júri concedeu ao WhatsApp quatrocentos e quarenta e quatro mil dólares em danos legais e um centésimo sessenta e sete pontos dois e cinco milhões de dólares em danos punitivos.
Total: aproximadamente US$ cem e sessenta e oito milhões.
Em um caso paralelo, a Apple havia apresentado um processo contra o NSO Group em novembro de 2021.Em setembro de 2024, a Apple rejeitou voluntariamente seu caso.O raciocínio, articulado em documentos judiciais: continuar o litígio exigiria divulgação de detalhes sobre a infraestrutura de segurança da Apple que poderia prejudicar seus esforços para combater spyware.A Apple argumentou que o mercado comercial de spyware se expandiu substancialmente desde 2021, com vários concorrentes entrando no espaço, e que mesmo uma vitória completa no caso Apple não teria o impacto sistêmico que teria tido três anos antes.
A retirada da Apple foi amplamente interpretada como uma perda estratégica - e como evidência do sucesso do NSO Group em usar a descoberta como arma contra os autores de litígios cujos litígios poderiam expandir as operações de segurança interna.
O Pegasus é o produto de spyware comercial mais documentado, mas não é o único.
Em 2026, a indústria de spyware comercial incluía pelo menos Predator, desenvolvido pelo Consórcio Intellexa - uma rede multinacional de empresas com sede na Grécia, Chipre, Hungria, Macedônia do Norte e Israel, fundada pelo ex-oficial de inteligência das Forças de Defesa de Israel Tal Dilian.
Candiru, uma empresa israelense especializada em exploração baseada em Windows, foi adicionada à lista de entidades comerciais dos EUA ao lado do NSO Group em novembro de 2021.
A QuaDream, fundada por ex-funcionários da NSO, desenvolveu REIGN, um produto semelhante ao Pegasus, que foi oficialmente encerrado em abril de 2023 após o Citizen Lab e a Microsoft Threat Intelligence relatarem.
Hacking Team, o fornecedor italiano, foi invadido e exposto em julho de 2015 por um hacker anônimo chamado Phineas Fisher.
O Gamma Group, os fabricantes anglo-germânicos de FinFisher, que foram violados por Phineas Fisher em 2014, declarou-se insolvente em 2022 em meio a uma investigação criminal alemã.
A geração pós-Pegasus de fornecedores de spyware comercial continuou as operações.O mercado que o NSO Group pioneira não desapareceu.Fragmentou-se em mais fornecedores, mais jurisdições e estruturas corporativas mais sofisticadas projetadas para resistir melhor aos mecanismos de prestação de contas.
Em outubro de 2025, o próprio NSO Group confirmou que um grupo de investidores baseados nos EUA, liderado pelo produtor de filmes Robert Simonds, tinha adquirido uma participação controladora na empresa.As implicações da transição de propriedade - quer indique reabilitação regulatória, transição completa para operações nos EUA, ou alguma outra mudança estrutural - não estão resolvidas a partir de abril de 2026.
O NSO Group continua a vender Pegasus, e a resposta institucional, real e substancial, causou danos materiais à empresa, mas não impediu a indústria.
Fragment Zero acompanhou um princípio nos arquivos dos casos dos últimos meses.
O caso Stuxnet, fundamental para o arco de canais, demonstrou que os atores estatais poderiam construir armas cibernéticas capazes de destruição física em escala industrial.A doutrina - silêncio, paciência, capacidade assimétrica exercida quando o cálculo estratégico o favorece - foi provada pela primeira vez pelos Estados Unidos e Israel contra o programa nuclear iraniano entre 2006 e 2010.
O caso Pegasus demonstra o próximo passo.
A tecnologia desenvolvida pelos ex-alunos da Unidade 8200 - substancialmente a mesma capacidade institucional que construiu Stuxnet - foi produzida, valorizada e vendida a governos clientes que não têm a capacidade técnica para desenvolver tais ferramentas.
A doutrina de Liu Cixin - revelação como perigo existencial, capacidade assimétrica exercida quando o cálculo estratégico o favorece - não se aplica apenas a estados que observam outros estados, mas também a entidades comerciais que vendem a capacidade assimétrica a quem pode pagar.
O caso de Khashoggi é a ilustração mais clara.
Khashoggi não podia se comunicar em privado com seu colaborador mais próximo. Ele acreditava que podia. Ele usava aplicativos criptografados de ponta a ponta. Ele usava segurança operacional de melhores práticas. Nada importava porque o telefone de seu colaborador foi comprometido no nível do sistema operacional por um software que havia sido vendido ao governo saudita por uma empresa israelense fundada por ex-alunos da Unidade 8200.
A asimetria de informações foi completa, a vantagem estratégica foi exercida, as consequências se propagaram independentemente das decisões subsequentes de Khashoggi.
Na linguagem dos arquivos anteriores do Fragmento Zero: ele não podia desvelar o que já havia revelado.
A resposta institucional - a Lista de Entidades Comerciais dos EUA, o julgamento de WhatsApp de US$ 160 milhões, o comitê PEGA da UE, as restrições de exportação do Ministério da Defesa de Israel - é real. Também é tarde.
Os danos a esses alvos - prisão, exílio, assassinato, divórcio, destruição profissional, separação familiar - já haviam ocorrido.
Hanan Elatr, que era uma supervisora sênior de companhias aéreas que voava internacionalmente, estava trabalhando em um restaurante de baixo salário na área de Washington a partir de 2023 relatando.Ela ainda tinha medo de sua segurança.Ela morava escondida na área de Washington.Seu permissão de trabalho tinha sido emitida apenas recentemente.
O corpo de Khashoggi não foi encontrado.
O processo do governo saudita contra onze sauditas acusados de envolvimento no assassinato resultou em três absolvições, cinco sentenças de morte e três sentenças de prisão em dezembro de 2019.
O processo não se fecha.
O que pode ser estabelecido é o precedente. Pegasus é o caso comercial fundamental. Predator, o próximo caso de Fragment Zero planejado, é o segundo. O terceiro, quarto, quinto caso estão presumivelmente em desenvolvimento agora - construídos pelos fundadores aprendendo com os erros regulatórios da NSO, estruturando as entidades corporativas para resistir melhor às rejeições de imunidade soberana, fixando preços para seus produtos para escapar dos limites da Lista de Entidades, encontrando clientes em jurisdições onde os reguladores israelenses, americanos e da UE têm menos alavancagem.
A capacidade que construiu Stuxnet foi estatal, a capacidade que construiu Pegasus foi comercial, a capacidade que construiu a próxima linha de produtos será qualquer que seja o ambiente regulatório do momento que torne lucrativo.
Nos meses anteriores ao seu assassinato, Jamal Khashoggi acreditava que suas comunicações eram privadas, o seu governo as lê de qualquer maneira, a tecnologia que permitiu isso foi construída por veteranos do serviço de inteligência de um país e vendida ao governo de outro país por cerca de quarenta milhões de dólares por implantação de espectro completo.
A tecnologia continua a funcionar, o mercado continua a crescer, o processo não se fecha.
Fragmento Zero irá rastrear o arquivo do caso.
O arquivo do caso não se fecha, mas espera.
