Кристоф Клерикс из Knack присоединился к Süddeutsche Zeitung в своем репортаже о целях, выбранных Руандой. Среди людей, с которыми он хотел встретиться, была Карин Канимба, обличавшая правительство Руанды в преддверии предстоящего суда над ее отцом по обвинению в терроризме, похищении и убийстве. Отец Карин, Пол Русесабагина, был героем "Отеля Руанда", спасшим более 1200 хуту и тутси от убийства во время геноцида 1994 года. Его критическая позиция в отношении правящей партии Руанды в последующие годы привела его в 2020 году в тюрьму в Кигали, где его якобы пытали, и теперь ему грозит обвинительный приговор. В преддверии судебного процесса президент Руанды громко и публично заявлял о виновности Русесабагины.
Миранда Патручич из OCCRP уже проверила множество телефонных номеров в данных, отобранных операторами системы Pegasus в Азербайджане, включая пятнадцать журналистов, двадцать восемь активистов движения за гражданские права и адвокатов, а также пятьдесят лидеров азербайджанской оппозиционной партии. Даже заместитель министра обороны. Лучшей новостью из OCCRP было то, что Хадиджа Исмайлова может быть освобождена из-под домашнего ареста в Баку в конце той недели. Миранда и несколько других коллег Хадиджи из OCCRP планировали лично встретиться с Хадиджей в Анкаре (Турция), где наконец-то можно будет сообщить ей о заражении "Пегасом" по мобильному телефону.
Уверенность Клаудио в результатах экспертизы, проведенной лабораторией безопасности, росла, как и его желание поскорее закончить расследование. Клаудио и Донча буквально настигали НСО. Самые ранние экспертизы "Проекта Пегас" касались телефонов, зараженных в 2018 и 2019 годах, на заре появления эксплойтов с нулевым кликом. Но по крайней мере один мобильный телефон, который они анализировали в мае, был заражен в течение предыдущих четырех недель.
Недавно зараженные iPhone предложили новые и несколько озадачивающие находки. Потребовалась некоторая расшифровка, сравнение старых резервных копий с новыми резервными копиями тех же iPhone, но Клаудио и Донча убедились, что NSO использует новый обходной маневр. Кодеры и инженеры компании, осознав, что их эксплойты с нулевым кликом становятся доступными для киберисследователей, поскольку заражения оставляют обнаруживаемые следы Pegasus в файлах резервных копий, добавили дополнительный уровень защиты. Начиная с 2020 года эксплойты Pegasus стали гораздо тщательнее удалять все следы атак и заражений с телефонов, на которые они были направлены, и оставляли меньше следов.
Однако более загадочным, и это стало понятно Клаудио и Доннче только в последние недели мая, было то, что шпионская программа Pegasus от NSO теперь пыталась переписать историю. Когда устройство заражалось самой последней версией Pegasus, шпионская программа не только стирала следы новой атаки, но и пыталась стереть следы Pegasus, оставленные предыдущими атаками. Это было беспроигрышное открытие для Клаудио и Дончи. С другой стороны, инструмент Security Lab все же смог найти старые следы, потому что чистящие средства NSO были не слишком дотошными. Они вычистили имена вредоносных процессов почти из всех столбцов журналов использования данных в файлах резервных копий. Но не все. Оперативники НСО были небрежны, полагал Донча, потому что были самонадеянны. Им казалось, что они слишком хороши, чтобы быть пойманными.
Однако обратной стороной этого открытия стало тревожное подтверждение последних опасений Клаудио и Доннчи, что NSO может их раскусить. "То есть я не знаю, каким именно образом NSO может следить за нашей экспертизой, — сказал Клаудио нам с Сандрин, — но было бы глупо с их стороны не иметь какого-то контроля над телефоном, который им уже "принадлежит". Они, вероятно, могли бы видеть, если бы кто-то что-то делал".
Палома поняла, что скорость важна как никогда, когда отправилась обратно в Мексику в конце мая. Мы работали над историей "Пегаса" в Мексике дольше, чем над любой другой, начиная с проекта "Картель" в конце 2020 года. Палома и остальная команда разработали множество зацепок, которые пока что оказывались чем-то средним между манящими и безумно сложными для привязки. Мы рассчитывали на Палому и на наше все более тесное сотрудничество с Кармен Аристеги, одной из самых уважаемых и популярных журналисток Мексики.