Pesquisadores em cibersegurança alertam para o aumento das ações retaliatórias de hacktivistas após a operação militar coordenada entre EUA e Israel contra o Irã, codinome Epic Fury e Roaring Lion.
Segundo relatório da Radware divulgado na terça-feira, a ameaça hacktivista no Oriente Médio está concentrada: dois grupos, Keymous+ e DieNet, são responsáveis por cerca de 70% das atividades entre 28 de fevereiro e 2 de março.
O primeiro ataque de negação de serviço distribuído (DDoS) foi realizado pelo grupo tunisiano Hider Nex em 28 de fevereiro de 2026.
Hider Nex, conforme dados da Orange Cyberdefense, é um coletivo tunisiano que apoia causas pró-Palestina.
Eles adotam a tática hack-and-leak, que combina ataques DDoS com vazamento de dados sigilosos para promover sua agenda geopolítica.
O grupo surgiu em meados de 2025.
Ao todo, foram registradas 149 reivindicações de ataques DDoS hacktivistas direcionados a 110 organizações em 16 países.
Doze grupos participaram das ações, incluindo Keymous+, DieNet e NoName057(16), responsáveis por 74,6% dos ataques.
A maioria dos ataques (107) ocorreu no Oriente Médio, focando em infraestrutura pública e alvos governamentais.
A Europa foi atingida em 22,8% dos casos globais nesse período.
Setores governamentais foram os mais visados (47,8%), seguidos por finanças (11,9%) e telecomunicações (6,7%).
A Radware destaca que o "front digital" cresce junto com as operações físicas na região, com hacktivistas ampliando o número de países-alvo no Oriente Médio.
A distribuição dos ataques concentrou-se principalmente no Kuwait (28%), Israel (27,1%) e Jordânia (21,5%).
Além dos grupos já citados, outras organizações envolvidas em operações disruptivas incluem Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors e PalachPro, segundo dados da Flashpoint, Palo Alto Networks Unit 42 e Radware.
No atual cenário de ciberataques, destacam-se:
- Hacktivistas pró-Rússia, como Cardinal e Russian Legion, alegam ter invadido redes militares israelenses, incluindo o sistema de defesa antimísseis Iron Dome.
- Foi detectada uma campanha ativa de phishing via SMS usando uma réplica maliciosa do app RedAlert, da Israeli Home Front Command, para distribuir malware de vigilância móvel e exfiltração de dados.
De acordo com a CloudSEK, o APK malicioso é instalado pelas vítimas sob o pretexto de uma atualização urgente relacionada à guerra, ocultando novas funcionalidades atrás de um alerta legítimo.
- O Corpo de Guardas Revolucionários Iranianos (IRGC) atacou setores de energia e infraestrutura digital no Oriente Médio, focando na Saudi Aramco e em um data center da Amazon Web Services nos Emirados Árabes Unidos, com o objetivo declarado de causar "máxima dor econômica global" em retaliação a perdas militares, conforme a Flashpoint.
- Cotton Sandstorm (ou Haywire Kitten) ressuscitou seu antigo alter ego Altoufan Team, reivindicando invasões em sites no Bahrein.
Segundo a Check Point, isso demonstra a natureza reativa do grupo, com alta probabilidade de mais intrusões na região durante o conflito.
- Dados da Nozomi Networks indicam que o grupo de hacking estatal iraniano UNC1549 (também conhecido como GalaxyGato, Nimbus Manticore ou Subtle Snail) foi o quarto ator mais ativo na segunda metade de 2025, concentrando-se em defesa, aeroespacial, telecomunicações e governos regionais para avançar as prioridades geopolíticas do Irã.
- Grandes exchanges iranianas de criptomoedas permaneceram operacionais, mas adotaram ajustes, suspenderam ou agruparam saques, além de emitir orientações aos usuários para enfrentar possíveis interrupções.
Ari Redbord, da TRM Labs, observa que isso representa um teste de estresse em tempo real da infraestrutura cripto iraniana diante da guerra, das restrições de conectividade e da volatilidade do mercado.
- A Sophos registrou aumento nas atividades de hacktivistas, principalmente pró-Irã, como Handala Hack Team e APT Iran, com ataques DDoS, defacement de sites e alegações não verificadas contra infraestruturas israelenses, sem escalada significativa de risco.
- O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) alertou para maior risco de ataques iranianos e recomendou reforço da postura de segurança para mitigar DDoS, phishing e ameaças a sistemas de controle industrial (ICS).
Em publicação no LinkedIn, Cynthia Kaiser, vice-presidente de pesquisas em ransomware da Halcyon e ex-diretora adjunta da divisão cibernética do FBI, afirmou que o Irã tem histórico de retaliar operações cibernéticas contra "ofensas políticas percebidas", com uso crescente de ransomware.
Kaiser destaca que, tradicionalmente, o regime iraniano tolera hackers privados voltados contra os EUA, Israel e aliados para manter opções estratégicas.
Portanto, é provável que Teerã habilite esses atores cibernéticos caso acredite que suas ações terão impacto retaliatório relevante contra os ataques militares.
A empresa SentinelOne também afirma com alta confiança que organizações israelenses, americanas e de países aliados serão alvos diretos ou indiretos, principalmente nos setores governamental, infraestrutura crítica, defesa, financeiro, acadêmico e de mídia.
A Nozomi Networks complementa que os grupos ligados ao Irã combinam espionagem, desestabilização e operações psicológicas para avançar objetivos estratégicos.
Em períodos instáveis, essas ações intensificam-se, mirando infraestrutura crítica, redes de energia, órgãos governamentais e indústrias fora do foco imediato do conflito.
Para mitigar riscos durante o conflito cinético, recomenda-se que as organizações adotem monitoramento contínuo, atualizem assinaturas de inteligência contra ameaças, reduzam a superfície de ataque externa, realizem revisões completas da exposição dos ativos conectados, validem segmentação adequada entre redes de TI e OT, além de garantir isolamento apropriado dos dispositivos IoT.
Adam Meyers, da CrowdStrike, reforça que, em conflitos anteriores, atores iranianos alinharam seus ataques a objetivos estratégicos que aumentam pressão e visibilidade em setores como energia, infraestrutura crítica, finanças, telecomunicações e saúde.
Segundo Meyers, esses adversários ampliaram suas táticas além das invasões tradicionais, atacando nuvem e identidades digitais, o que lhes permite agir rapidamente em ambientes híbridos com maior escala e impacto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...