Os ciberataques iranianos intensificaram-se de forma significativa na sequência da operação militar “Epic Fury”, conduzida pelos EUA e por Israel a 28 de fevereiro de 2026. O primeiro grande precedente desta escalada não veio do ciberespaço, mas do céu: a 1 de março, drones iranianos atingiram três instalações da Amazon Web Services nos Emirados Árabes Unidos e no Bahrein, causando danos estruturais, interrupções no fornecimento de energia e colocando as infraestruturas offline. O episódio redefine o perímetro de risco para qualquer organização com dependências cloud no Médio Oriente, independentemente da sua localização geográfica.
Um conflito que chegou aos data centers
Dois data centers nos Emirados Árabes Unidos foram diretamente atingidos; uma terceira instalação no Bahrein sofreu danos colaterais resultantes de um drone que explodiu nas imediações, segundo confirmação da própria AWS. A empresa indicou que a recuperação seria prolongada “dada a natureza dos danos físicos envolvidos”, com alguns sistemas de supressão de incêndios ativados a provocar danos adicionais por água. Organizações sem qualquer presença na região, mas com serviços SaaS alojados nas zonas afetadas, registaram interrupções que não antecipavam.
Horas após a operação “Epic Fury”, atores cibernéticos alinhados com o Irão mobilizaram-se. Autoridades do Reino Unido, do Canadá, da Europol e do Departamento de Segurança Interna dos EUA emitiram avisos sobre níveis de ameaça elevados. A ESET observa que, em contextos de conflito cinético, a atividade hacktivista tende a surgir primeiro, enquanto operações APT de reconhecimento e acesso inicial avançam em paralelo ou logo a seguir.
O primeiro grande ciberataque: Stryker
A 12 de março de 2026, o grupo hacktivista pró-iraniano Hamdala lançou um ataque de destruição de dados contra a empresa norte-americana de tecnologia médica Stryker, que terá provocado a paragem global dos seus sistemas. A ESET não apresenta indicadores técnicos de comprometimento no seu comunicado, e a atribuição ao Hamdala não foi, até ao momento, corroborada por fontes independentes. O advérbio “terá” no próprio documento sinaliza essa incerteza.
O modelo de ataque é relevante: não se trata de ransomware com pedido de resgate, mas de um wiper, código concebido para destruir dados de forma irreversível. Esta distinção importa para a resposta operacional, uma vez que um wiper não deixa janela de negociação.
MuddyWater: o grupo que se mistura com o tráfego legítimo
Entre os atores com maior atividade em 2026, a ESET destaca o MuddyWater, grupo alinhado com o Irão que a empresa descreve como progressivamente mais furtivo e refinado. A sua técnica central assenta no abuso de software legítimo de gestão e monitorização remota (RMM), o que lhe permite operar dentro do tráfego normal de uma rede e dificultar a deteção por ferramentas convencionais.
No mês anterior ao do comunicado, o grupo foi identificado nas redes de várias entidades norte-americanas: um aeroporto, um banco e uma empresa de software com ligações a Israel. A ESET não especifica se estas intrusões resultaram em exfiltração de dados ou permaneceram em fase de reconhecimento.
Quem está em risco
Segundo a telemetria da ESET, os setores mais visados por atores alinhados com o Irão são a engenharia e a manufatura. O risco estende-se, contudo, a organizações com:
- Relações de supply chain no Médio Oriente
- Fornecedores com acesso remoto ou MSPs partilhados
- Dependências de serviços cloud alojados na região
- Ligações operacionais indiretas a entidades israelitas ou norte-americanas
O ataque à supply chain documentado em 2022 serve de referência: o grupo Agrius, alinhado com o Irão, distribuiu o wiper Fantasy através do comprometimento de um programador israelita, atingindo organizações em vários setores e países que nunca foram diretamente visadas.
Seis prioridades segundo a ESET
A empresa apresenta um conjunto de recomendações que constituem boas práticas de segurança independentes do conflito atual. O contexto geopolítico confere-lhes urgência, não novidade:
| Prioridade | Ação |
|---|---|
| Exposição à internet | Auditar acessos remotos, VPNs, aplicações web e dispositivos OT/ICS; alterar todas as credenciais por defeito |
| Autenticação | Implementar MFA resistente a phishing; auditar registos não autorizados |
| Supply chain | Rever todos os acessos de terceiros, incluindo fornecedores remotos e MSPs |
| Spearphishing | Treinar equipas para reconhecer mensagens de contas internas comprometidas; validar pedidos urgentes por canais alternativos |
| Dependências cloud | Mapear onde estão alojados os serviços SaaS; preparar planos de failover para interrupções regionais |
| Cópias de segurança | Manter backups offline e air-gapped; em conflitos, os atacantes tendem a privilegiar wipers em vez de ransomware |
A lacuna que o comunicado não preenche
O documento da ESET não quantifica nem exemplifica impactos concretos em organizações europeias ou portuguesas. Os alertas da Europol são mencionados sem detalhe sobre setores ou países específicos em risco no espaço europeu. Para um CISO em Lisboa ou no Porto, a questão permanece sem resposta direta: qual o nível de risco real para uma organização portuguesa sem ligação explícita ao Médio Oriente?
A resposta honesta é que não se sabe ainda. Esse grau de incerteza é, em si mesmo, uma razão para agir sobre os vetores controláveis antes que a ameaça se concretize.
Mais informações sobre a ESET no site oficial.
Outros artigos interessantes:
