JAWA TENGAH — Citizen Lab, unit riset keamanan digital Universitas Toronto, mengonfirmasi bahwa ponsel milik Stelios Kouloglou diretas menggunakan spyware Pegasus pada Oktober 2022 dan dua kali di Maret 2023. Kouloglou saat itu menjabat sebagai anggota Komite PEGA (Special Committee on Pegasus and Surveillance) yang bertugas menyelidiki penyalahgunaan spyware oleh pemerintah negara-negara Eropa.
Modus Peretasan: Eksploit Celah Keamanan iPhone Tanpa Klik
Peretas memanfaatkan celah zero-click di perangkat lunak smart home Apple yang belum diperbarui di ponsel Kouloglou. Kerentanan ini memungkinkan spyware menyusup tanpa perlu interaksi dari korban—cukup dengan mengirimkan email atau pesan yang mengandung exploit.
Begitu masuk, Pegasus mencuri data pribadi seperti pesan teks, korespondensi surel, data lokasi, dan foto. Bahkan, mikrofon ponsel bisa diaktifkan diam-diam untuk merekam percakapan sekitar.
Kronologi: Dari Ruang Operasi hingga Perjalanan ke Brussels
Peretasan pertama pada Oktober 2022 terjadi saat Kouloglou tengah dirawat di rumah sakit untuk menjalani operasi terjadwal. Citizen Lab menduga operator spyware memanfaatkan momen itu untuk merekam audio terkait kondisi kesehatannya atau pembicaraan dengan pengunjung.
Serangan kedua terjadi pada 6-7 Maret 2023, saat Kouloglou dalam perjalanan dari Athena menuju Brussels untuk menghadiri sidang komite. Periode ini bertepatan dengan penyusunan draf laporan akhir komite PEGA yang membahas temuan penyalahgunaan spyware di Siprus, Yunani, Hongaria, Polandia, dan Spanyol.
Identitas Pelaku: Pelanggan Pemerintah NSO Group yang Sama
Citizen Lab tidak menyebut secara spesifik negara yang bertanggung jawab. Namun, peneliti menemukan alamat email yang digunakan untuk menyerang Kouloglou identik dengan alamat yang dipakai dalam kampanye peretasan terhadap jurnalis di sejumlah negara Eropa sebelumnya.
Kesamaan ini menunjukkan bahwa pelanggan pemerintah NSO Group tersebut memiliki izin resmi untuk menggunakan Pegasus di lintas negara. NSO Group tidak menanggapi permintaan konfirmasi dari TechCrunch.
Dampak: "Serangan Langsung terhadap Supremasi Hukum"
Seorang anggota Parlemen Eropa yang masih menjabat menyebut peretasan ini sebagai "serangan langsung terhadap supremasi hukum." Mereka mendesak Komisi Eropa untuk segera menerapkan batasan ketat penggunaan spyware di 27 negara anggota Uni Eropa.
Kouloglou sendiri mengaku marah saat mengetahui ponselnya dibobol. "Semua data pribadi Anda diambil—bukan hanya percakapan profesional dengan menteri, tapi juga hal-hal privat seperti momen bahagia dan sedih," ujarnya kepada TechCrunch.
Langkah Hukum: NSO Group Akan Digugat
Kouloglou berencana menggugat NSO Group, perusahaan spyware asal Israel tersebut. Ia mengaku membuka kasus ini ke publik demi demokrasi, hak asasi manusia, dan perang melawan korupsi. "Korupsi menyangkut semua orang," tegasnya.
NSO Group sendiri sebagian besar dilarang digunakan oleh pemerintah AS setelah perintah eksekutif era Biden yang melarang penggunaan spyware yang berpotensi melanggar HAM. Tahun lalu, perusahaan mengonfirmasi adanya suntikan dana puluhan juta dolar dari grup investasi Amerika yang diduga sebagai upaya memperbaiki citra merek yang tercemar.