Cel właściwie nie ma szans zobaczyć skrzydlatego konia w akcji. Może jednak podejrzewać, że zaczęło się polowanie. Tak było w przypadku meksykańskiej dziennikarki Carmen Aristegui, która odkryła aferę Casa Blanca (Biały Dom) – od nazwy posiadłości wybudowanej dla byłego prezydenta Meksyku przez firmę jego znajomego. Przypadkiem realizującej też pierwszy w kraju kontrakt na budowę kolei dużej prędkości.
Któregoś dnia w 2015 r. Aristegui zaczęła otrzymywać dziwne SMS-y. W jednym ktoś prosił ją, żeby pomogła odnaleźć zaginione dziecko. Inny informował o zablokowaniu środków na karcie kredytowej. Jeszcze inny, że jest problem z jej wnioskiem o wydanie amerykańskiej wizy. Wszystkie zawierały link, w który adresatka miała kliknąć.
Aristegui wydawało się to podejrzane, dlatego tego nie uczyniła. Gdyby jednak to zrobiła, na pierwszy rzut oka nic by się nie stało: przeglądarka internetowa załadowałaby po prostu pustą stronę. Ot, kolejny błąd w sieci. Dziennikarka nawet by się nie zorientowała, że właśnie przejęto kontrolę nad jej smartfonem. Klikając link, ściągnęłaby bowiem na urządzenie Pegasusa.
Luki dnia zerowego
Program do przejęcia kontroli nad telefonem wykorzystuje luki w systemie operacyjnym, o których istnieniu nie wie nawet jego producent (0-day exploit, luki dnia zerowego). Ich wykrywaniem zajmują się za ciężkie pieniądze specjaliści od bezpieczeństwa IT, którzy chwalą się sukcesami na branżowych konferencjach. Dla nich znaleźć taką lukę to jak dla sportowca zdobyć mistrzostwo świata. Pegasus wykorzystywał nie jedną, nie dwie – ale kilka luk. To jak zgarnąć parę tytułów w ciągu jednego sezonu. Już nie mistrzostwo, ale wirtuozeria w swojej dziedzinie.
