Nach Angaben von Citizen Lab wurde Kouloglous Telefon im Oktober 2022 und im März 2023 mit Pegasus infiziert. Die Sicherheitsforscher bezeichnen Pegasus als leistungsfähige Zero-Click-Spyware. Beide Angriffe fielen in eine Phase, in der der sogenannte PEGA-Ausschuss, dem Kouloglou angehörte, an Empfehlungen gegen den Missbrauch kommerzieller Spyware in Europa arbeitete.
Der Ausschuss veröffentlichte seine Empfehlungen im Mai 2023. Laut dem Bericht hat die Europäische Kommission diese weitgehend ignoriert. Citizen-Lab-Forscher John Scott-Railton bezeichnete dieses Versäumnis gemeinsam mit Dutzenden Politikern und Experten als nicht zu entschuldigen. Er sagte in einem Interview, er rechne damit, dass weitere Mitglieder des Europäischen Parlaments kompromittiert würden, ohne davon zu wissen.
Kouloglou, der auch langjähriger Investigativjournalist ist, sagte Recorded Future News, er halte die griechische Regierung für verantwortlich. Citizen Lab erklärte jedoch, es gebe keine Hinweise darauf, dass dies zutreffe. Kouloglou vertrat Griechenland von 2015 bis 2024 im Europäischen Parlament. Griechenland ist seit langem in einen Spyware-Skandal verwickelt, wobei dort nach Angaben des Quelltexts die eingesetzte Technik von Intellexa stammte und nicht von NSO Group, dem Unternehmen hinter Pegasus.
Eine Stellungnahme von NSO Group lag nicht vor; ein Sprecher reagierte nicht auf eine Anfrage. Hersteller kommerzieller Spyware erklären laut Quelltext üblicherweise, ihre Produkte auf Einsätze wie strafrechtliche Ermittlungen und Antiterror-Operationen zu beschränken.
Citizen Lab geht davon aus, dass derselbe Pegasus-Kunde sowohl hinter den beiden Vorfällen bei Kouloglou als auch hinter einer Reihe weiterer Infektionen steckt, die die Organisation in einem Bericht vom Mai 2024 offengelegt hatte. Diese betrafen Geräte von sieben russisch- und belarussischsprachigen Journalisten und Oppositionsfiguren zwischen August 2020 und Januar 2023.
Zusätzlich sei dieselbe E-Mail-Adresse, die gegen Kouloglou eingesetzt wurde, im selben Zeitraum auch bei den Angriffen gegen Ziele aus Belarus und Russland verwendet worden, so Citizen Lab. Solche für das Ausspähen genutzten E-Mail-Adressen seien jeweils spezifischen Betreibern zugeordnet. Deshalb komme der Bericht zu dem Schluss, dass die Regierung hinter dem Angriff auf Kouloglou mit hoher Wahrscheinlichkeit auch für die Hacks in Belarus und Russland verantwortlich ist. Der mögliche Täterkreis werde zusätzlich dadurch eingegrenzt, dass nur ein Teil der Pegasus-Kunden Lizenzen für Einsätze in mehreren Ländern habe.
Kouloglou brachte sein Telefon im Mai 2026 zur Untersuchung zu Citizen Lab. Scott-Railton und andere Forscher erklärten laut Bericht, sie hätten Hinweise gefunden, dass Kouloglou in den vergangenen Jahren drei Apple-Warnhinweise zu möglicher Spyware erhalten hatte. Er selbst sagte jedoch, er habe diese Benachrichtigungen nie gesehen.
Hannah Neumann von den Grünen aus Deutschland, die ebenfalls Verhandlerin im PEGA-Ausschuss war, sagte, der Fall zeige, wie Spyware die Demokratie bedrohe. Ein Staat habe ein Mitglied des Europäischen Parlaments ausspioniert, während dieses den Missbrauch von Spyware untersucht habe. Neumann kritisierte außerdem die Untätigkeit der Kommission und sagte, nationale Regierungen hielten an Spyware fest, weil sie deren Nutzen für Nachrichtendienste und Strafverfolgung schätzten. Kouloglou kündigte an, NSO zu verklagen. Er sagte, auf seinem Telefon hätten sich 15 Jahre Fotos und Nachrichten befunden, darunter Kommunikation mit Ministerpräsidenten, Abgeordneten, Parteiführern und Journalisten.
