Ahmed Mansoor, một nhà hoạt động nhân quyền từ Các Tiểu vương quốc Ả Rập Thống nhất được quốc tế biết đến, đã nhận được vào ngày 1 tháng 8 năm 2016, một tin nhắn SMS trên iPhone 6 (phiên bản iOS 9.3.3) của anh ta [4], cho biết về những dấu hiệu vi phạm nhân quyền mới và có một liên kết đến một trang web được cho là sẽ tiết lộ những bí mật mới. Mục đích duy nhất của SMS này là khiến người sử dụng điện thoại nhấn vào liên kết (tải phần mềm xuống đĩa cứng). Thay vì nhấp vào liên kết, Mansoor đã gửi tin nhắn này tới một chuyên gia an ninh mạng của Citizen Lab, nơi đã nhấna vào link trong một môi trường phát triển được bảo vệ và do đó đã phát hiện ra âm mưu tấn công bằng phần mềm này.

Trong cuộc điều tra ban đầu, Citizen Lab phát hiện ra rằng liên kết thuộc về cái gọi là " cơ sở hạ tầng khai thác " của công ty NSO Group của Israel, vì miền sms.webadv.co được sử dụng và địa chỉ IP của nó đã trở nên nổi bật trong quá trình phân tích trong các trường hợp khác. Công ty này tiếp thị một sản phẩm phần mềm gián điệp iOS dưới tên Pegasus như một dịch vụ phần mềm dành riêng cho các cơ quan chính phủ, các nhà điều tra tội phạm và cơ quan tình báo. Việc sử dụng phần mềm này của các chính phủ chuyên chính, độc tài để theo dõi những người chỉ trích, nhóm đối lập cũng thường được báo chí tường thuật. Theo Lookout, ước tính khoảng 25.000 USD được tính cho mỗi khảo sát.[5]

Các cuộc điều tra chung tiếp theo của Citizen Lab và Lookout đã dẫn đến một chuỗi cái gọi là khai thác "zero-day " - lỗ hổng an ninh mạng trong một sản phẩm phần mềm chưa có cách giải quyết. Những lỗ hổng chưa biết đến như vậy rất hiếm và như vậy rất đắt trên thị trường chợ đen (lên đến 1 triệu euro cho mỗi khe hở). Do đó, nguồn gốc chuyên nghiệp của phần mềm này được coi là chắc chắn. Việc lợi dụng ba lần khai thác "zero-day" như vậy là rất đáng chú ý. Các đoạn mã được suy diễn rằng Pegasus có thể được sử dụng xuống đến phiên bản iOS 7.

Chuỗi được đặt tên là "Trident" và bao gồm 3 chỗ hở sau, được thực hiện theo thứ tự như sau: