Kouloglou gehörte dem „Untersuchungsausschuss zur Untersuchung des Einsatzes von Pegasus und gleichwertiger Überwachungs-Spionagesoftware“ des Europäischen Parlaments vom 24. März 2022 bis zum 18. Juli 2023 an. Der PEGA-Ausschuss war am 10. März 2022 eingerichtet worden, um mutmaßlichen Missbrauch kommerzieller Spähsoftware nach EU-Recht zu untersuchen. Im Mittelpunkt stand die Frage, in welchem Umfang Mitgliedstaaten und andere Länder solche Werkzeuge unter Verstoß gegen Rechte und Freiheiten in der Region einsetzen.

Citizen Lab zufolge ergab eine forensische Analyse von Artefakten, die im Mai 2026 von Kouloglous iPhone gesichert wurden, dass das Gerät am oder um den 21. Oktober 2022 sowie erneut am 6. und 7. März 2023 mit Pegasus kompromittiert wurde. Nach Angaben der Forscher tauchte am 21. Oktober 2022 um 10:16 Uhr eine Abfrage für die HomeKit-E-Mail-Adresse „rauharepo888[@]gmail.com“ auf; zwei Minuten später nutzte ein Pegasus-Prozess mobile Daten.

Nach Einschätzung von Citizen Lab wurde für die Infektion ein Zero-Click-Exploit in Apples Smart-Home-Software verwendet, der unter dem Namen PWNYOURHOME bekannt ist. Apple behob das Problem in iOS 16.3.1. Auch die später im März 2023 beobachtete Pegasus-Aktivität soll denselben Exploit eingesetzt haben. Zu beiden Zeitpunkten lief auf Kouloglous Gerät iOS 15.5.

Die Analyse des Telefons zeigte außerdem, dass Kouloglou an drei Terminen Apple-Benachrichtigungen über eine Zielauswahl durch Söldner-Spyware erhielt: am 2. März 2023, am 29. August 2023 und am 10. April 2024. Citizen Lab hebt hervor, dass dies der erste öffentlich bekannt gewordene Fall eines Mitglieds des PEGA-Ausschusses ist, das während seiner Ausschusstätigkeit mit Pegasus angegriffen wurde.

Auch das Timing der Infektionen fällt auf. Als Kouloglous Telefon erstmals kompromittiert wurde, lag er für eine planbare Operation im Krankenhaus und hatte Besuch vom griechischen Investigativjournalisten Thanasis Koukakis. Dessen eigenes Telefon war zuvor mit der Spionagesoftware Predator von Intellexa kompromittiert worden; einen Monat zuvor hatte er vor dem PEGA-Ausschuss ausgesagt.

Die zweite Infektion im März 2023 fiel laut Bericht in eine Phase intensiver Beratungen zur Endfassung des Abschlussdokuments, gefolgt von einer Reihe von PEGA-Anhörungen. Der Vorfall ereignete sich zwei Monate vor der Verabschiedung des ersten Berichts des Ausschusses.

Die Verbindung zu der früheren Kampagne gegen unabhängige russisch- und belarussischsprachige Journalisten sowie Oppositionsaktivisten in Europa stützt Citizen Lab auf die Verwendung derselben E-Mail-Adresse „rauharepo888[@]gmail.com“. Nach Einschätzung des Labors sind solche E-Mail-Adressen in der damals beobachteten Pegasus-Infektionsinfrastruktur jeweils einzelnen Betreibern zuzuordnen. Ob die zweite Infektion im Jahr 2023 demselben Betreiber oder einem anderen zuzuschreiben ist, könne man jedoch nicht sagen.

Mit Verweis auf das Lizenzmodell der NSO Group hält Citizen Lab es für wahrscheinlich, dass der verantwortliche Kunde über eine Lizenz verfügte, die Infektionen in mehreren EU-Rechtsräumen ermöglichte. Das engt nach Ansicht der Forscher den Kreis möglicher Pegasus-Betreiber in diesem Fall ein.