NSO شرکتی اسرائیلی است که یک ابزار جاسوسی به نام پگاسوس را تولید کرده و به دولت‌های سراسر جهان می‌فروشد. این جاسوس‌افزار دستگاه‌های اندروید و آیفون را آلوده می‌کند. پس از آلوده شدن دستگاه، اپراتور پگاسوس می‌تواند چت‌ها، عکس‌ها، ایمیل و مختصات مکانی را استخراج کند. علاوه بر آن می‌تواند بدون مطلع شدن کاربر، میکروفن و دوربین گوشی وی را روشن کند.

NSO ادعا می‌کند که این بدافزار را تنها به نیروهای نظامی، نهادهای اعمال قانون و سازمان‌های اطلاعاتی 40 کشور مختلف (که نامشان فاش نشده است) می‌فروشد و تنها هدف آن مبارزه با مجرمان و تروریست‌ها است. این شرکت ادعا می‌کند به داده‌های افرادی که مورد جاسوسی مشتریان پگاسوس هستند، دسترسی ندارد.

یک پروژه تحقیقاتی ژورنالیستی برای بررسی NSO و مشتریانش ایجاد شده است که «پروژه پگاسوس» نام دارد. این پروژه که توسط یک سازمان رسانه‌ای غیرانتفاعی پاریسی به نام اخبار ممنوعه (Forbidden Stories) هدایت می‌شود، با همکاری بیش از 80 ژورنالیست از 17 سازمان رسانه‌ای شکل گرفته است و از پشتیبانی فنی عفو بین‌الملل نیز برخوردار است.

طی این پروژه لیستی شامل بیش از 50 هزار شماره تلفن کشف شده است که گمان می‌رود متعلق به مشتریان NSO باشد. پروژه پگاسوس این داده‌ها را در اختیار رسانه‌های مختلف از جمله گاردین، واشنگتن پست و لوموند قرار داده است. این شماره تلفن‌ها مربوط به 45 کشور مختلف از چهار قاره جهان هستند.

NSO ادعاهای مطرح شده درباره پگاسوس را کذب خوانده و اظهار داشته است که این لیست نمی‌تواند فهرست اهداف مشتریان پگاسوس باشد، و عدد 50 هزار را نیز اغراق‌آمیز خوانده است.

البته به صرف وجود یک شماره در این لیست نمی‌توان گفت صاحب آن شماره هدف پگاسوس بوده است، اما آزمایشگاه امنیت سازمان عفو بین‌الملل، روی 67 دستگاه موبایل از لیست نامبرده تحلیل فارنزیکی انجام داده و روی 37 مورد از آنها اثراتی از پگاسوس را یافته است. داده‌های تحلیل چهار مورد از دستگاه‌های آیفون با تیم تحقیقاتی Citizen Lab از دانشگاه تورنتو به اشتراک گذاشته شد. این تیم تائید کرد که این دستگاه‌ها به پگاسوس آلوده بوده‌اند.

همچنین طبق این تحلیل، یک همبستگی بین زمانی که شماره در لیست قرار گرفته و زمانی که فعالیت پگاسوس روی دستگاه شروع شده وجود دارد. در برخی موارد، فعالیت پگاسوس تنها چند ثانیه پس از فهرست شدن شماره آغاز شده است.

این تحلیل نشان می‌دهد حداقل ده کشور جمهوری آذربایجان، بحرین، قزاقستان، مکزیک، مراکش، روآندا، عربستان، مجارستان، هند و امارات متحده عربی از مشتریان پگاسوس بوده‌اند که شماره تلفن‌ها را در این لیست وارد می‌کرده‌اند. از این بین، روآندا، مراکش، هند و مجارستان استفاده از پگاسوس را تکذیب کرده‌اند.

با توجه به داده‌های افشا شده به نظر می‌رسد عربستان و امارات با کمک این ابزار جاسوسی، نزدیکان جمال خاشقچی را قبل و بعد از به قتل رسیدن وی تحت نظر داشته‌اند. همچنین دادستان ترکیه‌ای که پرونده قتل را دنبال می‌کرد نیز از اهداف احتمالی جاسوسی بوده است.