NSO Group utilizó varios exploits 0-day que aprovechaban vulnerabilidades de WhatsApp para desplegar el spyware Pegasus en ataques zero-click. Según documentación judicial, NSO desarrolló el exploit Heaven en 2018 suplantando al instalador oficial de la aplicación para desplegar Pegasus. En 2019, desarrolló otro exploit, Eden, para eludir las protecciones implementadas en 2018. WhatsApp parcheó ambos e inhabilitó las cuentas de NSO.
El último exploit desarrollado por la empresa, Erised, utilizaba los servidores de retransmisión de WhatsApp para instalar Pegasus. El proceso de instalación se iniciaría cuando un cliente de NSO introducía el número de teléfono móvil de un objetivo en un programa ejecutado en su ordenador, desencadenando la instalación remota de Pegasus en los dispositivos de los objetivos, dirigiéndose al sector gubernamental europeo.