Ud over NSO Group blev det konstateret, at et andet overvågningsfirma havde brugt iPhones nul-klik udnyttelse til at spionere på brugere.
Ifølge Reuters brugte QuaDream-firmaet på samme måde nul-klik-udnyttelsen til at spionere på sine mål uden at skulle narre dem til at downloade eller klikke på noget. Kilder hævder, at QuaDream begyndte at bruge denne ForcedEntry-udnyttelse i iMessage, som først blev opdaget i september 2021. Apple var hurtig til at lappe udnyttelsen inden for samme måned.
QuaDreams flagskibsspyware, døbt REIGN, fungerede meget som NSO Groups Pegasus-spyware ved at installere sig selv på målenheder uden advarsel eller behov for brugerinteraktion. Da den var på plads, begyndte den at indsamle kontaktoplysninger, e-mails, beskeder fra forskellige beskedapps og billeder. Ifølge en brochure erhvervet af Reuters tilbød REIGN også optagelse af opkald og kamera/mikrofonaktivering.
QuaDream er mistænkt for at bruge den samme udnyttelse som NSO Group, fordi begge spywareprogrammer ifølge kilder udnyttede lignende sårbarheder. De brugte begge også en lignende tilgang til at installere skadelig software, og Apples patch formåede at stoppe dem begge i deres spor.
Mens nul-klik-sårbarheden i iMessage er blevet løst, hvilket effektivt afskærer både Pegasus og REIGN, er det ikke en permanent løsning. Som Reuters påpeger, er smartphones ikke (og vil sandsynligvis aldrig blive) fuldstændig sikret mod enhver tænkelig form for angreb.
