149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

Pesquisadores de cibersegurança alertam para uma onda de ataques hacktivistas de retaliação após a campanha militar coordenada entre Estados Unidos e Israel contra o Irã, batizada de Epic Fury e Roaring Lion.

Segundo relatório divulgado pela empresa de cibersegurança Radware, apenas dois grupos, Keymous+ e DieNet, foram responsáveis por quase 70% de toda a atividade de ataques entre os dias 28 de fevereiro e 2 de março.

O primeiro ataque de negação de serviço distribuído (DDoS) da série foi lançado pelo grupo Hider Nex, também conhecido como Tunisian Maskers Cyber Force, em 28 de fevereiro de 2026.

Quem está por trás dos ataques?

De acordo com a Orange Cyberdefense, empresa de segurança, o Hider Nex é um obscuro coletivo hacktivista tunisiano surgido em meados de 2025, que apoia causas pró-palestinas. O grupo combina ataques DDoS com vazamentos de dados para expor informações sensíveis e pressionar seus alvos geopoliticamente.

No total, foram registradas 149 reivindicações de ataques DDoS contra 110 organizações distintas em 16 países, executadas por 12 grupos diferentes. Keymous+, DieNet e NoName057(16) juntos responderam por 74,6% de toda a atividade registrada.

Outros grupos envolvidos nas operações incluem, segundo dados compilados por Flashpoint, Palo Alto Networks Unit 42 e Radware:

•  Nation of Saviors (NOS);
• Conquerors Electronic Army (CEA);
• Sylhet Gang, 313 Team;
• Handala Hack;
• APT Iran;
• Cyber Islamic Resistance;
• Dark Storm Team;
• FAD Team;
• Evil Markhors;
• PalachPro;

Oriente Médio concentra a maior parte dos ataques

Dos 149 ataques registrados, 107 foram direcionados ao Oriente Médio, com foco desproporcional em infraestrutura pública e alvos governamentais. A Europa ficou em segundo lugar, respondendo por 22,8% do total global.

A Radware afirma que a frente digital está se expandindo junto com a física na região, com grupos hacktivistas mirando simultaneamente mais nações no Oriente Médio do que nunca.

Kuwait, Israel e Jordânia foram os países mais visados, respondendo por 28%, 27,1% e 21,5% dos ataques, respectivamente. Quanto aos setores, quase metade (47,8%) das organizações-alvo pertencia ao setor governamental, seguido pelo financeiro (11,9%) e de telecomunicações (6,7%).

Domo de Ferro, phishing e ataques a infraestrutura 

O escopo das ofensivas vai além dos DDoS, incluindo:

• Redes militares israelenses na mira: grupos pró-russos como Cardinal e Russian Legion alegaram ter invadido redes do exército israelense, incluindo o sistema de defesa antimíssil Domo de Ferro;
   
• Aplicativo falso de alertas de ataque: uma campanha ativa de phishing por SMS distribui uma réplica maliciosa do aplicativo RedAlert, do Comando de Frente Interna de Israel. 
  
  Ao instalar o que parece ser uma atualização urgente de segurança, a vítima entrega acesso a um mecanismo completo de vigilância e exfiltração de dados. 
  
  "Os adversários implantam uma interface de alerta totalmente funcional que mascara um invasivo motor de espionagem, projetado para explorar uma população em estado de hipervigilância", alertou a CloudSEK;
   
• Ataque à Saudi Aramco e à AWS: o Corpo de Guardiões da Revolução Islâmica (IRGC) do Irã teria atacado a Saudi Aramco e um datacenter da Amazon Web Services nos Emirados Árabes Unidos, com o objetivo declarado de "infligir o máximo de dor econômica global como contrapressão às perdas militares", segundo a Flashpoint;
   
• Cotton Sandstorm ressurge: o grupo iraniano Cotton Sandstorm (também conhecido como Haywire Kitten) reativou sua antiga persona cibernética, Altoufan Team, reivindicando invasões a sites no Bahrein. A Check Point avalia como altamente provável o envolvimento contínuo do grupo em novas intrusões na região.

Irã usa criptomoedas como válvula de escape econômica

Com a guerra pressionando a conectividade e os mercados iranianos, as principais exchanges de criptomoedas do país anunciaram ajustes operacionais, incluindo suspensão ou agrupamento de saques, e alertaram usuários sobre possíveis interrupções.

"O que estamos vendo no Irã não é fuga de capitais em massa, mas um mercado gerenciando volatilidade sob conectividade restrita e intervenção regulatória", disse Ari Redbord, chefe global de políticas da TRM Labs. "Por anos, o Irã operou uma economia paralela que usou cripto para contornar sanções. O que vemos agora é um teste de estresse em tempo real dessa infraestrutura."

Empresas alertam para escalada de ataques iranianos

A SentinelOne avaliou com alto grau de confiança que organizações em Israel, nos EUA e em países aliados, especialmente nos setores governamental, de defesa, financeiro e de infraestrutura crítica, devem se preparar para alvejamento direto ou indireto.

"Os adversários iranianos continuaram a evoluir suas táticas, expandindo-se para operações focadas em nuvem e identidade, o que os posiciona para agir rapidamente em ambientes empresariais híbridos com maior escala e impacto", afirmou Adam Meyers, chefe de Operações Contra Adversários na CrowdStrike.

O Centro Nacional de Cibersegurança do Reino Unido (NCSC) já emitiu alerta formal, pedindo que organizações fortaleçam sua postura de segurança contra DDoS, phishing e ataques a Sistemas de Controle Industrial (ICS).

Para se proteger, especialistas recomendam ativar monitoramento contínuo, atualizar assinaturas de inteligência de ameaças, reduzir a superfície de ataque exposta e garantir a separação adequada entre redes de TI e OT, além do isolamento de dispositivos IoT.

Acompanhe o TecMundo nas redes sociais para mais notícias sobre cibersegurança.