Um alerta para o aumento significativo da atividade cibernética associada ao Irão, num contexto de escalada geopolítica que combina pressão militar, política e digital é feito pela empresa de cibersegurança, Check Point.
Uma análise recente a Check Point Research aponta que os principais grupos ligados ao ecossistema estatal iraniano estão a reforçar operações de espionagem, sabotagem e influência, com potencial impacto no Médio Oriente, nos Estados Unidos e em outros países considerados adversários estratégicos.
Em comunicado a empresa de soluções de cibersegurança referiu que a investigação da Check Point Research identificou um conjunto de clusters alinhados com entidades estatais, nomeadamente o Islamic Revolutionary Guard Corps, IRGC, e o Ministry of Intelligence and Security, MOIS, bem como operadores com negação plausível e grupos que atuam sob identidades hacktivistas. Estes atores combinam espionagem para obtenção de informação estratégica, ataques disruptivos, incluindo DDoS, pseudo ransomware e wipers destrutivos, e operações de desinformação que amplificam fugas de dados através de campanhas coordenadas nas redes sociais.
Principais grupos sob monitorização da Check Point Research, inclui:
■ Cotton Sandstorm: Associado ao IRGC, o grupo conhecido como Cotton Sandstorm, também identificado como Emennet Pasargad ou Aria Sepehr Ayandehsazan, tem um historial de campanhas de reação rápida a eventos regionais. A sua abordagem combina desfiguração de websites, ataques DDoS, sequestro de contas de email e roubo de dados, seguidos de estratégias de “hack and leak” para amplificar o impacto mediático.
A Check Point Research indica que observou a utilização recorrente do malware WezRat, um infostealer modular distribuído através de campanhas de spear phishing que simulam atualizações urgentes de software. Em alguns incidentes, os atacantes recorreram ainda ao ransomware WhiteLock contra alvos israelitas, sem excluir a possibilidade de expansão para outros países.
■ Educated Manticore: Alinhado com a organização de inteligência do IRGC, o Educated Manticore destaca-se por campanhas de engenharia social altamente direcionadas contra jornalistas, académicos, investigadores e figuras públicas. As campanhas recentes incluem spear phishing por email e aplicações de mensagens, conduzindo as vítimas para kits de phishing que imitam serviços como WhatsApp, Microsoft Teams ou Google Meet, com o objetivo de capturar credenciais e tokens de sessão.
■ MuddyWater: Tradicionalmente associado ao MOIS, o grupo MuddyWater mantém um foco consistente em espionagem contra governos, telecomunicações e setor energético no Médio Oriente. A sua atividade recente evidencia o uso de ferramentas legítimas de gestão remota, distribuídas através de serviços de partilha de ficheiros e campanhas massivas de phishing. O grupo privilegia técnicas living off the land, explorando ferramentas nativas do Windows para movimento lateral e persistência.
■ Void Manticore, Handala: Sob a identidade hacktivista Handala, este ator ligado ao MOIS aposta em operações de impacto psicológico e reputacional. A sua atividade recente inclui exploração de vulnerabilidades em aplicações expostas à internet e publicação estratégica de dados roubados, com o objetivo de maximizar pressão mediática e intimidar organizações alvo.
■ Agrius: Ativo desde 2020 e também associado ao MOIS, o grupo Agrius é conhecido por operações destrutivas que simulam ataques de ransomware, mas cujo objetivo principal é a sabotagem. O grupo explora servidores web expostos, utiliza webshells ASPX e ferramentas legítimas para reconhecimento e tunelização de tráfego, privilegiando impacto operacional e narrativo.
Tendências e riscos para as organizações
A Check Point indicou que análise demonstra que estes atores partilham metodologias semelhantes, o que permite às organizações reforçar a sua postura de segurança de forma preventiva e estruturada. Entre as técnicas mais comuns encontram-se o abuso de VPN comerciais para ocultação de origem, exploração de ativos expostos à internet, reutilização de credenciais comprometidas e campanhas de phishing altamente personalizadas.
Num contexto de escalada, a probabilidade de ataques oportunistas e campanhas de desinformação aumenta substancialmente, podendo afetar cadeias de fornecimento, infraestruturas críticas e entidades governamentais.
Em face dos riscos a Check Point faz algumas recomendações de mitigação, incluindo:
- Monitorização e triagem de tráfego associado a nós de saída de VPN comerciais
- Auditoria de ativos expostos à internet, incluindo câmaras IP e servidores web, para deteção de credenciais por defeito e vulnerabilidades não corrigidas
- Implementação de autenticação multifator resistente a phishing em ambientes Google e Microsoft 365
- Monitorização de autenticações anómalas e possíveis reutilizações de tokens de sessão
- Sensibilização das equipas para abordagens suspeitas relacionadas com convites para entrevistas, colaborações ou reuniões inesperadas
Ao reforçar a visibilidade, a segmentação e a aplicação consistente de políticas de segurança, as organizações podem reduzir significativamente a superfície de ataque e mitigar incidentes antes de estes evoluírem para crises operacionais ou reputacionais.
Plataforma Infinity como resposta estratégica
Através da sua Infinity Platform, a Check Point disponibiliza uma abordagem consolidada e orientada por inteligência artificial que permite prevenir, detetar e responder a ameaças avançadas em ambientes de rede, cloud e utilizador final. Esta visão integrada garante proteção contínua face a campanhas coordenadas que combinam intrusão técnica e manipulação informacional.
A Check Point indicou que continuará a monitorizar a evolução do cenário e a partilhar inteligência acionável que permita às organizações antecipar riscos e reforçar a sua resiliência digital num contexto geopolítico cada vez mais volátil.
