Εκτός από την ομάδα NSO, μια δεύτερη εταιρεία παρακολούθησης βρέθηκε ότι χρησιμοποιούσε το μηδενικό κλικ του iPhone για να κατασκοπεύει χρήστες.
Σύμφωνα με το Reuters, η εταιρεία QuaDream χρησιμοποιούσε παρομοίως την εκμετάλλευση μηδενικού κλικ για να κατασκοπεύσει τους στόχους της χωρίς να χρειάζεται να τους εξαπατήσει ώστε να κατεβάσουν ή να κάνουν κλικ σε οτιδήποτε. Πηγές ισχυρίζονται ότι η QuaDream άρχισε να χρησιμοποιεί αυτό το exploit ForcedEntry στο iMessage που ανακαλύφθηκε για πρώτη φορά τον Σεπτέμβριο του 2021. Η Apple έσπευσε να επιδιορθώσει το exploit μέσα στον ίδιο μήνα.
Το κορυφαίο λογισμικό υποκλοπής spyware της QuaDream, που ονομάστηκε REIGN, λειτούργησε πολύ όπως το λογισμικό υποκλοπής υποκλοπής Pegasus του NSO Group εγκαθιστώντας τον εαυτό του σε συσκευές-στόχους χωρίς προειδοποίηση ή ανάγκη αλληλεπίδρασης με τον χρήστη. Μόλις τοποθετηθεί, άρχισε να συλλέγει στοιχεία επικοινωνίας, email, μηνύματα από διάφορες εφαρμογές ανταλλαγής μηνυμάτων και φωτογραφίες. Σύμφωνα με μια μπροσούρα που απέκτησε το Reuters, η REIGN προσέφερε επίσης εγγραφή κλήσεων και ενεργοποίηση κάμερας/μικροφώνου.
Το QuaDream είναι ύποπτο ότι χρησιμοποιεί την ίδια εκμετάλλευση με το NSO Group επειδή, σύμφωνα με πηγές, και τα δύο προγράμματα spyware εκμεταλλεύτηκαν παρόμοια τρωτά σημεία. Και οι δύο χρησιμοποίησαν επίσης παρόμοια προσέγγιση για την εγκατάσταση κακόβουλου λογισμικού και η ενημέρωση κώδικα της Apple κατάφερε να σταματήσει και τους δύο.
Ενώ η ευπάθεια μηδενικού κλικ στο iMessage έχει αντιμετωπιστεί, αποκόπτοντας ουσιαστικά τόσο το Pegasus όσο και το REIGN, δεν είναι μια μόνιμη λύση. Όπως επισημαίνει το Reuters, τα smartphone δεν είναι (και πιθανότατα δεν θα είναι ποτέ) απολύτως ασφαλή από κάθε πιθανή μορφή επίθεσης.
