Check Point alerta para intensificação das ciberameaças iranianas no contexto da atual escalada geopolítica

A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), líder global em soluções de cibersegurança , alerta para o aumento significativo da atividade cibernética associada ao Irão, num contexto de escalada geopolítica que combina pressão militar, política e digital. De acordo com a mais recente análise da Check Point Research, os principais grupos ligados ao ecossistema estatal iraniano estão a reforçar operações de espionagem, sabotagem e influência, com potencial impacto no Médio Oriente, nos Estados Unidos e em outros países considerados adversários estratégicos.

A investigação identifica um conjunto de clusters alinhados com entidades estatais, nomeadamente o Islamic Revolutionary Guard Corps, IRGC, e o Ministry of Intelligence and Security, MOIS, bem como operadores com negação plausível e grupos que atuam sob identidades hacktivistas. Estes atores combinam espionagem para obtenção de informação estratégica, ataques disruptivos, incluindo DDoS, pseudo ransomware e wipers destrutivos, e operações de desinformação que amplificam fugas de dados através de campanhas coordenadas nas redes sociais.

Principais grupos sob monitorização

Cotton Sandstorm

Associado ao IRGC, o grupo conhecido como Cotton Sandstorm, também identificado como Emennet Pasargad ou Aria Sepehr Ayandehsazan, tem um historial de campanhas de reação rápida a eventos regionais. A sua abordagem combina desfiguração de websites, ataques DDoS, sequestro de contas de email e roubo de dados, seguidos de estratégias de “hack and leak” para amplificar o impacto mediático.

A Check Point Research observou a utilização recorrente do malware WezRat, um infostealer modular distribuído através de campanhas de spear phishing que simulam atualizações urgentes de software. Em alguns incidentes, os atacantes recorreram ainda ao ransomware WhiteLock contra alvos israelitas, sem excluir a possibilidade de expansão para outros países.

Educated Manticore

Alinhado com a organização de inteligência do IRGC, este cluster destaca-se por campanhas de engenharia social altamente direcionadas contra jornalistas, académicos, investigadores e figuras públicas. As campanhas recentes incluem spear phishing por email e aplicações de mensagens, conduzindo as vítimas para kits de phishing que imitam serviços como WhatsApp, Microsoft Teams ou Google Meet, com o objetivo de capturar credenciais e tokens de sessão.

MuddyWater

Tradicionalmente associado ao MOIS, o grupo MuddyWater mantém um foco consistente em espionagem contra governos, telecomunicações e setor energético no Médio Oriente. A sua atividade recente evidencia o uso de ferramentas legítimas de gestão remota, distribuídas através de serviços de partilha de ficheiros e campanhas massivas de phishing. O grupo privilegia técnicas living off the land, explorando ferramentas nativas do Windows para movimento lateral e persistência.

Void Manticore, Handala

Sob a identidade hacktivista Handala, este ator ligado ao MOIS aposta em operações de impacto psicológico e reputacional. A sua atividade recente inclui exploração de vulnerabilidades em aplicações expostas à internet e publicação estratégica de dados roubados, com o objetivo de maximizar pressão mediática e intimidar organizações alvo.

Agrius

Ativo desde 2020 e também associado ao MOIS, o grupo Agrius é conhecido por operações destrutivas que simulam ataques de ransomware, mas cujo objetivo principal é a sabotagem. O grupo explora servidores web expostos, utiliza webshells ASPX e ferramentas legítimas para reconhecimento e tunelização de tráfego, privilegiando impacto operacional e narrativo.

Tendências e riscos para as organizações

A análise da Check Point demonstra que estes atores partilham metodologias semelhantes, o que permite às organizações reforçar a sua postura de segurança de forma preventiva e estruturada. Entre as técnicas mais comuns encontram-se o abuso de VPN comerciais para ocultação de origem, exploração de ativos expostos à internet, reutilização de credenciais comprometidas e campanhas de phishing altamente personalizadas.

Num contexto de escalada, a probabilidade de ataques oportunistas e campanhas de desinformação aumenta substancialmente, podendo afetar cadeias de fornecimento, infraestruturas críticas e entidades governamentais.

Recomendações da Check Point

A Check Point recomenda às organizações que adotem medidas imediatas de mitigação, incluindo:

Monitorização e triagem de tráfego associado a nós de saída de VPN comerciais
Auditoria de ativos expostos à internet, incluindo câmaras IP e servidores web, para deteção de credenciais por defeito e vulnerabilidades não corrigidas
Implementação de autenticação multifator resistente a phishing em ambientes Google e Microsoft 365
Monitorização de autenticações anómalas e possíveis reutilizações de tokens de sessão
Sensibilização das equipas para abordagens suspeitas relacionadas com convites para entrevistas, colaborações ou reuniões inesperadas

Ao reforçar a visibilidade, a segmentação e a aplicação consistente de políticas de segurança, as organizações podem reduzir significativamente a superfície de ataque e mitigar incidentes antes de estes evoluírem para crises operacionais ou reputacionais.

Plataforma Infinity como resposta estratégica

Através da sua Infinity Platform, a Check Point disponibiliza uma abordagem consolidada e orientada por inteligência artificial que permite prevenir, detetar e responder a ameaças avançadas em ambientes de rede, cloud e utilizador final. Esta visão integrada garante proteção contínua face a campanhas coordenadas que combinam intrusão técnica e manipulação informacional.

A Check Point continuará a monitorizar a evolução do cenário e a partilhar inteligência acionável que permita às organizações antecipar riscos e reforçar a sua resiliência digital num contexto geopolítico cada vez mais volátil.