Бывший сотрудник NSO Group предоставил изданию Motherboard IP-адрес сервера, который использовался для заражения телефонов с помощью вредоносного ПО Pegasus. Оказавшись на зараженном устройстве, Pegasus способен собирать учетные данные для доступа к облачным сервисам Google Диск, Facebook Messenger и iCloud. Шпионская программа может проводить все операции без «инициирования двухфакторной аутентификации или отображения уведомления о несанкционированном доступе».
Как сообщило издание, данный IP-адрес в течение 2015 и 2016 годов был связан с 10 доменами. Некоторые из них были созданы так, чтобы казаться безобидными для пользователя. Например, замаскированы под ресурсы, якобы позволяющие отписаться от рассылки электронных писем или текстовых сообщений. Другие домены выдавали себя за сайт команды безопасности Facebook и ресурсы по отслеживанию посылок от FedEx.