Uma nova investigação da Broadcom, conduzida pelas equipes Symantec e Carbon Black Threat Hunter, revelou uma campanha de infiltração realizada por um grupo de hackers iraniano em diversas redes corporativas nos Estados Unidos.
As organizações afetadas incluem bancos, aeroportos, uma entidade sem fins lucrativos e o braço israelense de uma empresa de software.
A atribuição das ações é feita ao grupo patrocinado pelo Estado iraniano conhecido como MuddyWater (também chamado Seedworm), vinculado ao Ministério da Inteligência e Segurança do Irã (MOIS).
A campanha teria começado no início de fevereiro, com intensificação recente após ataques militares dos EUA e de Israel contra o Irã.
Segundo o relatório compartilhado com o The Hacker News, a empresa de software atua como fornecedora dos setores de defesa e aeroespacial e mantém operações em Israel — que parece ter sido o principal alvo dessa ofensiva.
Entre os alvos, estavam um banco norte-americano e uma organização não governamental canadense.
Nesses casos, os pesquisadores identificaram a instalação de uma backdoor inédita, batizada Dindoor, que utiliza o runtime JavaScript Deno para execução.
Também foi detectada uma tentativa de exfiltração de dados da empresa de software, utilizando a ferramenta Rclone para enviar informações a um bucket na nuvem Wasabi.
Ainda não está claro se os dados foram efetivamente extraídos.
Além disso, outra backdoor em Python, nomeada Fakeset, foi encontrada nas redes de um aeroporto norte-americano e da ONG canadense.
Esse malware foi baixado de servidores da Backblaze, empresa norte-americana de armazenamento e backup na nuvem.
O certificado digital usado para assinar o Fakeset já havia sido empregado para assinar os malwares Stagecomp e Darkcomp, previamente associados ao MuddyWater.
A Symantec e a Carbon Black destacaram que, embora esse malware não tenha sido detectado diretamente nas redes atacadas, o uso do mesmo certificado indica a ação do mesmo grupo, o Seedworm.
Nos últimos anos, os atores iranianos aprimoraram suas ferramentas e malware, além de demonstrar forte capacidade em engenharia social, incluindo campanhas de spear-phishing e operações honeytrap para estabelecer relações com alvos e obter acesso a contas ou informações sensíveis.
Essas descobertas ocorrem em meio a um cenário de crescente conflito militar envolvendo o Irã, que tem impulsionado uma série de ataques cibernéticos.
Pesquisa recente da Check Point revelou que o grupo hacktivista pró-Palestina Handala Hack (também conhecido como Void Manticore) tem utilizado IPs da rede Starlink para explorar vulnerabilidades em aplicações expostas na internet, buscando configurações incorretas e credenciais frágeis.
Nas últimas semanas, diversos atores ligados ao Irã, como Agrius (também conhecido como Agonizing Serpens, Marshtreader e Pink Sandstorm), intensificaram a busca por vulnerabilidades em câmeras Hikvision e soluções de videoporteiro, explorando falhas conhecidas como
CVE-2017-7921
e
CVE-2023-6895
.
Segundo a Check Point, essa atividade aumentou desde o início do recente conflito no Oriente Médio.
Israel e países do Golfo — incluindo Emirados Árabes Unidos, Catar, Bahrein e Kuwait —, além de Líbano e Chipre, foram focos dessas tentativas de exploração.
Além dessas duas CVEs, vulnerabilidades como
CVE-2021-36260
, CVE-2023-34067 e
CVE-2021-33044
também foram exploradas para atacar dispositivos das marcas Dahua e Hikvision.
A empresa de segurança aponta que a combinação desses indícios sugere que, como parte de sua doutrina, o Irã utiliza a exploração de câmeras para dar suporte a operações militares, bem como para avaliação de danos em combate (Battle Damage Assessment, BDA) antes e durante lançamentos de mísseis.
Também reforça que monitorar essa atividade pode funcionar como um alerta precoce para possíveis ações cinéticas subsequentes.
As tensões entre EUA, Israel e Irã motivaram ainda um alerta do Canadian Centre for Cyber Security (CCCS), que prevê uso crescente da capacidade cibernética iraniana para ataques retaliatórios contra infraestruturas críticas e operações de informação, em defesa dos interesses do regime.
Nos últimos dias, outros eventos importantes ganharam destaque nesse conflito digital:
- Agências de inteligência israelenses teriam invadido durante anos a extensa rede de câmeras de tráfego de Teerã, monitorando os movimentos dos guardas pessoais do Aiatoalá Ali Khamenei e de outros oficiais de alto escalão antes do assassinato do líder supremo, segundo reportagem do Financial Times.
- O Corpo da Guarda Revolucionária Islâmica do Irã (IRGC) teria mirado um data center da Amazon no Bahrein, em retaliação pelo apoio da empresa às atividades militares e de inteligência consideradas hostis, conforme divulgado pela agência estatal Fars News no Telegram.
- Campanhas de wipers (malware destrutivo) estão ativas contra setores-chave de Israel, como energia, finanças e governo.
O arsenal iraniano inclui mais de 15 famílias diferentes, como ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle e BFG Agonizer, entre outras, segundo a Anomali.
- Grupos APT patrocinados pelo Estado iraniano — MuddyWater, Charming Kitten, OilRig, Elfin e Fox Kitten — demonstraram rápida ativação e adaptação para operações retaliatórias, conforme a firma LevelBlue, que destaca o papel do ciberespaço como ferramenta assimétrica valiosa para o Irã frente aos países do Golfo e aos EUA.
- A Flashpoint identificou uma campanha massiva chamada #OpIsrael, impulsionada por atores pró-Rússia e pró-Irã, que tem atacado sistemas de controle industrial (ICS) e portais governamentais no Kuwait, na Jordânia e no Bahrein.
Entre os grupos envolvidos estão NoName057(16), Handala Hack, Fatemiyoun Electronic Team e Cyber Islamic Resistance (também conhecido como 313 Team).
- Entre 28 de fevereiro e 2 de março de 2026, o grupo hacktivista pró-Rússia Z-Pentest assumiu a responsabilidade por comprometer várias entidades nos EUA, incluindo sistemas ICS, SCADA e redes de CFTV.
O momento dessas ações indica priorização de alvos norte-americanos no contexto da chamada Operation Epic Fury, segundo Adam Meyers, chefe de Operações Contra Adversários da CrowdStrike.
Para a UltraViolet Cyber, a capacidade ofensiva cibernética do Irã evoluiu para uma ferramenta duradoura de poder estatal, utilizada para coleta de inteligência, influência regional e sinalizações estratégicas em momentos de tensão geopolítica.
Um elemento central da doutrina atual iraniana está no controle de identidades e planos de nuvem como principais superfícies de ataque.
Os operadores iranianos tendem a priorizar técnicas replicáveis, como roubo de credenciais, ataques de password spraying e engenharia social, seguidos por métodos persistentes baseados em serviços amplamente usados nas empresas, em vez do uso em massa de exploits zero-day ou malware altamente inovador.
Diante desse cenário, as organizações são aconselhadas a reforçar sua postura de cibersegurança: ampliar capacidades de monitoramento, limitar a exposição direta à internet, desabilitar acessos remotos a sistemas de Operational Technology (OT), implementar autenticação multifator resistente a phishing, segmentar redes, manter backups offline e garantir que todas as aplicações, VPNs e dispositivos expostos estejam atualizados.
Adam Meyers alerta que entidades ocidentais devem permanecer em estado de alerta elevado, pois o conflito pode evoluir de atos hacktivistas para operações cibernéticas destrutivas com impactos significativos.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...