Guerras modernas não acontecem só com soldados e bombas, elas também têm uma dimensão digital. Principalmente quando os países envolvidos patrocinam grupos hackers que atacam infraestruturas, roubam informações e abrem uma nova frente de combate — os transformando, então, em cibercriminosos.
Após semanas de ameaças públicas, Estados Unidos e Israel atacaram o Irã, alegando risco ligado ao programa nuclear no país. Nesse contexto, longe da luta armada tradicional, o governo iraniano também utiliza frentes digitais em suas estratégias.
De acordo com um relatório da Check Point Research, o Irã não possui um único grupo de hackers, mas um ecossistema. Esse seria uma rede de grupos com diferentes especializações, graus de ligação com o Estado e diferentes objetivos – mas que, no conjunto, servem aos interesses do governo iraniano.
No topo dessa estrutura estão dois pilares institucionais. O primeiro é o IRGC, o Corpo da Guarda Revolucionária Islâmica, força militar de elite que concentra poder político, econômico e operacional no país.
O segundo é o MOIS, o Ministério de Inteligência e Segurança, a agência de espionagem iraniana. Ambos patrocinam grupos de hackers, financiam ferramentas, definem alvos e quando conveniente, negam qualquer envolvimento.
Abaixo dessas estruturas formais, existem os operadores com negação plausível, que atuam dentro da capacidade do governo em ‘desmentir’ seu envolvimento com alguma credibilidade. Além deles, há os hacktivistas, que se apresentam como ativistas independentes, mas que em muitos casos são apoiados pelo Estado.
O que esses grupos fazem
Os objetivos podem ser divididos em três categorias. A primeira é a espionagem: entrar nos sistemas de outras organizações silenciosamente e ficar lá coletando informações, lendo e-mails, roubando documentos, mapeando redes.
O segundo é a perturbação e destruição, que inclui ataques que tiram sistemas do ar ou destroem dados. O terceiro são as operações de informação, que combinam ataque digital com propaganda: invade, rouba, vaza publicamente e cria uma narrativa nas redes para maximizar o dano ao alvo.
Cotton Sandstorm, o grupo de reação rápida
O Cotton Sandstorm é ligado ao IRGC e age rapidamente quando algo acontece no mundo. Eles combinam o ataque técnico com a guerra de narrativa. Fazem defacement de sites, que é quando se invade um site e troca o conteúdo por uma mensagem política, como pichar uma parede digital.
Eles também fazem ataques de negação de serviço (DDoS), que inundam um servidor com tantas requisições simultâneas que ele trava e sai do ar. E roubam dados para vazar publicamente, numa tática chamada hack-and-leak.
Para isso, usam o infostealer WezRat, tipo de malware especializado em roubar senhas, arquivos e histórico de navegação. Ele é entregue via spearphishing, diferente do phishing comum.
Enquanto o phishing manda o mesmo e-mail falso para milhares de pessoas, o spearphishing mira numa pessoa específica, a estuda e personaliza a mensagem para parecer completamente legítima.
Em alguns casos, após a invasão, ainda implantam um ransomware, malware que embaralha todos os arquivos do sistema e exige resgate financeiro para devolver o acesso.
Um dia após o início do conflito entre Israel e Irã, o grupo reativou uma persona digital chamada Altoufan Team, inativa há mais de um ano, e já reivindicou novos alvos no Bahrein.
Eles monitoram os eventos geopolíticos em tempo real e têm infraestrutura pronta para ser acionada assim que a situação muda.
Educated Manticore, o grupo que ataca pessoas
Nem todo ataque visa sistemas tradicionais, alguns miram em pessoas. O Educated Manticore, ligado a uma divisão de inteligência do IRGC, é especialista nisso. O alvo preferido são jornalistas, pesquisadores, acadêmicos e ativistas exilados. Qualquer pessoa próxima de informações sensíveis ou de tomadores de decisão.
A abordagem começa com um contato aparentemente legítimo, um convite para entrevista, uma proposta de colaboração, um pedido de revisão de artigo. A comunicação pode durar semanas ou meses, construindo confiança.
Eventualmente, a vítima é direcionada a um link que leva a uma página idêntica ao WhatsApp, ao Google Meet ou ao Microsoft Teams. Ela digita seus dados. O grupo captura tudo.
O que torna esse ataque especialmente perigoso é o roubo dos tokens de sessão, códigos temporários que provam que você já fez login num serviço.
Se um atacante rouba esse token, consegue se passar por você sem precisar da sua senha e sem acionar nenhum alerta. Até mesmo a autenticação em dois fatores pode ser contornada dessa forma.
MuddyWater, o grupo invisível
O MuddyWater está ligado ao MOIS e é um dos mais ativos e longevos do ecossistema iraniano. O foco é entrar em organizações e simplesmente ficar lá, silenciosamente, por longos períodos.
Uma das suas principais ferramentas são as RMM tools, ferramentas de monitoramento e gerenciamento remoto que empresas de TI usam legitimamente para dar suporte à distância.
O MuddyWater as usa de forma maliciosa, ao instalar uma dessas ferramentas no computador da vítima, eles têm acesso total à máquina, e o tráfego parece completamente normal para os sistemas de segurança.
Eles também aplicam o living-off-the-land, que seria “viver da terra”, usar as próprias ferramentas nativas do Windows para fins maliciosos, em vez de instalar programas externos.
Como são ferramentas do próprio sistema, fica muito mais difícil distinguir o uso malicioso do legítimo.
Handala, o grupo da pressão psicológica
O Handala se apresenta como um grupo hacktivista pró-Palestina independente, mas a análise da Check Point indica que é uma identidade falsa mantida pelo Void Manticore, ator ligado ao MOIS.
O objetivo não é causar o maior dano técnico possível, mas criar pressão psicológica e dano de reputação. Eles invadem sistemas com proteções mais fracas, roubam o que encontram e publicam tudo online, incluindo provas do ataque para intimidar outros alvos em potencial.
Uma tática reveladora é o foco em supply-chain, a cadeia de suprimentos. Em vez de atacar uma grande empresa bem protegida, eles atacam um fornecedor menor, como uma terceirizada de TI.
Uma vez dentro desse fornecedor, usam essa posição para alcançar os alvos reais. É como entrar num prédio com segurança intensa pela empresa de limpeza que já tem acesso ao lugar.
Durante os protestos no Irã, quando o governo cortou o acesso à internet no país, pesquisadores identificaram operações do Handala partindo de IPs da Starlink, o serviço de internet via satélite da SpaceX.
O grupo havia encontrado uma forma de operar mesmo com o apagão digital doméstico.
Agrius, o grupo que destrói
O Agrius é o mais explicitamente destrutivo do conjunto. Enquanto os outros querem passar despercebidos, o Agrius quer causar dano visível.
Sua principal ferramenta são os wipers, malwares que apagam permanentemente todos os dados de um sistema. Diferente do ransomware, que promete devolver o acesso mediante pagamento, o wiper simplesmente destrói tudo.
Eles também usam pseudo-ransomware, que se apresenta como sequestro de dados, dando a falsa impressão de que há recuperação possível, quando os dados estão sendo destruídos. A intenção é criar confusão e atrasar a resposta da organização atacada.
Durante o conflito de doze dias entre Israel e Irã em junho de 2025, o Agrius foi observado varrendo câmeras de segurança em Israel para realizar uma avaliação de danos de batalha, o mesmo conceito que militares usam após um ataque aéreo para medir o estrago, mas feito através de câmeras hackeadas.
Acompanhe o TecMundo para ficar por dentro de mais notícias e relatórios de segurança.