De telefoons van tientallen demonstranten en activisten in Thailand die voor een hervorming van de monarchie en een terugkeer van democratie strijden zijn besmet met de Pegasus-spyware. Dat meldt Citizen Lab, een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten.

Vorig jaar november besloot Apple waarschuwingen te sturen naar iPhone-gebruikers die slachtoffer van de Pegasus-spyware waren geworden. Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.

Tal van Thaise pro-democratische activisten activisten ontvingen Apples waarschuwing. Daarop startte Citizen Lab in samenwerking met Thaise organisaties een onderzoek. De onderzoekers wisten zeker dertig personen die slachtoffer van Pegasus zijn geworden. Het gaat activisten, academici, advocaten en NGO-medewerkers. De infecties deden zich voor van oktober 2020 tot november 2021 en vallen samen met een periode van wijdverbreide protesten in het land.

Voor het besmetten van de telefoons werd gebruik gemaakt van twee zero-click exploits genaamd Kismet en ForcedEntry. Hierdoor was er geen enkele interactie van de slachtoffers vereist. De aanvallers hoefden alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen om de telefoon te infecteren en de persoon in kwestie te bespioneren, zonder dat die dit doorhad.

De Kismet-exploit was in het geval van de aanvallen in Thailand alleen ingezet tegen iPhones die niet up-to-date waren. Andere Pegasus-gebruikers hebben Kismet echter bij zeroday-aanvallen ingezet, waarbij iPhones met de meest recente versie van iOS besmet werden. In het geval van de ForcedEntry-exploit was er wel sprake van een zeroday-aanval op Thaise activisten. De aanval werd uitgevoerd via iMessage.

Veel van de Pegasus-slachtoffers zijn volgens Citizen Lab herhaaldelijk opgepakt, aangehouden en gevangen gezet voor hun politieke activiteiten of kritiek op de overheid. Volgens de onderzoekers wilden de aanvallers op deze manier mogelijk in kaart brengen hoe de oppositiebewegingen waren georganiseerd. Wie erachter de aanvallen zit is onbekend, maar de onderzoekers merken op dat de Thaise regering hier het meeste baat bij heeft gehad. Onlangs meldde de Volkskrant dat de Nederlandse overheid ook gebruik heeft gemaakt van de Pegasus-spyware.