Ferreira Manuel 
564
O Irão desenvolveu, ao longo da última década, um ecossistema cibernético composto por vários grupos de hackers associados a estruturas do Estado, utilizados para operações de espionagem digital, sabotagem informática e campanhas de influência online. Uma análise da Check Point identifica alguns dos principais actores ligados à nação persa e descreve as técnicas utilizadas em operações recentes no Médio Oriente e noutros países.
Segundo o relatório, estes grupos estão associados sobretudo ao Corpo da Guarda Revolucionária Islâmica (IRGC) e ao Ministério da Inteligência e Segurança do Irão (MOIS), embora o ecossistema inclua também colectivos que se apresentam como “hacktivistas”. As operações combinam diferentes objectivos estratégicos, incluindo recolha de informação, intrusões em redes informáticas, ataques disruptivos e divulgação de dados roubados com impacto mediático.
Vale sublinhar que, embora o estudo se concentre em actores ligados ao Irão, as operações digitais conduzidas ou apoiadas por Estados são hoje uma prática comum entre as potencias. Países como os EUA, Israel, China e Rússia, por exemplo, também mantêm unidades especializadas em espionagem cibernética, sabotagem informática e operações de informação, integrando estas capacidades na sua estratégia de segurança e política externa.
Cotton Sandstorm e operações de influência
Entre os grupos associados ao Irão está o Cotton Sandstorm, ligado ao IRGC e conhecido por campanhas de influência digital e acções cibernéticas desencadeadas em momentos de tensão regional.
As suas operações combinam intrusões técnicas com manipulação informacional. Entre as acções observadas estão a desfiguração de páginas web, ataques de negação de serviço distribuído (DDoS), sequestro de contas de correio electrónico e roubo de dados, seguidos pela divulgação selectiva dessa informação através de identidades falsas ou plataformas online para amplificar determinadas narrativas.
Segundo a Check Point, o grupo expandiu a sua actividade para além de Israel nos últimos anos. Um dos episódios referidos envolve o acesso não autorizado a uma empresa norte-americana de streaming IPTV, utilizado para transmitir mensagens geradas por inteligência artificial relacionadas com a guerra na Faixa de Gaza, dirigidas sobretudo a audiências nos Emirados Árabes Unidos.
Em várias campanhas, os atacantes recorreram ao malware WezRat, um programa modular destinado ao roubo de informação e distribuído através de campanhas de spear-phishing que simulam actualizações urgentes de software. Em alguns casos, as intrusões foram seguidas pela instalação do ransomware WhiteLock.
Educated Manticore e engenharia social
Outro grupo identificado é o Educated Manticore, associado à organização de inteligência do IRGC e frequentemente relacionado com os grupos APT35 ou APT42.
A sua actividade caracteriza-se pela utilização intensiva de engenharia social e pela personificação de identidades credíveis. Os atacantes apresentam-se como jornalistas, investigadores ou especialistas em segurança, procurando estabelecer relações de confiança com as vítimas antes de lançar ataques de phishing destinados a obter credenciais de acesso.
Campanhas recentes utilizaram mensagens de correio electrónico e aplicações de comunicação para encaminhar as vítimas para páginas falsas que imitam serviços populares como WhatsApp, Microsoft Teams ou Google Meet. O objectivo é recolher credenciais, tokens de sessão e, em alguns casos, dados adicionais como e-mails ou documentos armazenados nas contas comprometidas.
MuddyWater e espionagem persistente
O grupo MuddyWater, também associado ao MOIS, tem um historial prolongado de operações de espionagem contra entidades governamentais, empresas de telecomunicações, sector energético e organizações privadas no Médio Oriente.
A estratégia habitual consiste em comprometer redes corporativas e manter acesso persistente para recolha de informação. Para tal, os atacantes recorrem frequentemente a ferramentas legítimas de monitorização e gestão remota distribuídas através de campanhas de phishing enviadas a múltiplos destinatários.
Segundo os investigadores, as técnicas mais utilizadas incluem o recurso a ferramentas nativas do sistema operativo Windows, o abuso de software legítimo de administração remota e o roubo de credenciais para permitir movimentação lateral dentro das redes comprometidas.
Handala e operações de “hack-and-leak”
Entre os actores mais recentes está o Handala Hack Team, uma identidade hacktivista pró-palestiniana associada ao grupo Void Manticore, também ligado ao MOIS.
Este colectivo tem conduzido operações conhecidas como hack-and-leak, nas quais sistemas vulneráveis são invadidos e a informação obtida é divulgada publicamente para causar pressão psicológica ou reputacional sobre as organizações visadas.
As actividades observadas concentram-se sobretudo em alvos israelitas, embora tenham ocorrido ataques ocasionais a outras entidades quando estes se enquadram em objectivos políticos ou estratégicos mais amplos.
Agrius e ataques destrutivos
Outro actor relevante é o grupo Agrius, activo desde 2020 e igualmente associado ao MOIS. Este grupo tem sido associado a operações destrutivas que utilizam programas de eliminação de dados ou falsos ataques de ransomware destinados principalmente a causar interrupções em redes informáticas.
Os ataques começam frequentemente com a exploração de servidores web expostos à Internet. Após a intrusão, os atacantes instalam ferramentas de controlo remoto e recorrem a utilitários legítimos do sistema operativo para manter acesso e deslocar-se dentro das redes comprometidas.
Segundo a análise da Check Point, a actividade destes grupos demonstra como o Irão tem desenvolvido capacidades cibernéticas que combinam espionagem, sabotagem digital e operações de influência, utilizando diferentes actores e técnicas para atingir objectivos estratégicos no domínio digital.
