Uma campanha de password spraying ligada a um ator iraniano está mirando ambientes Microsoft 365 de organizações em Israel e nos Emirados Árabes Unidos. A atividade, considerada ainda em andamento, já afetou mais de 300 entidades israelenses e ao menos 25 nos Emirados.
Segundo a análise divulgada, os ataques ocorreram em três ondas distintas, registradas em 3, 13 e 23 de março de 2026. O foco principal recaiu sobre órgãos governamentais, municípios, empresas de tecnologia, transporte, energia e companhias do setor privado.
A técnica usada consiste em testar uma mesma senha comum contra múltiplas contas, estratégia que aumenta a escala da operação e reduz a chance de bloqueios imediatos por tentativas repetidas. Em ambientes corporativos, esse método continua sendo eficiente para identificar credenciais fracas sem depender de falhas de software.
De acordo com os pesquisadores, a campanha foi conduzida em três etapas. Primeiro, os operadores fizeram varreduras agressivas e tentativas de autenticação a partir de nós de saída da rede Tor. Depois, avançaram no processo de login e, uma vez dentro dos ambientes comprometidos, partiram para a coleta de dados sensíveis, incluindo conteúdo de caixas de e-mail.
A análise dos logs do Microsoft 365 apontou semelhanças com a atuação do grupo Gray Sandstorm, já associado anteriormente a operações iranianas. Também foram observados nós de VPN comerciais hospedados em infraestrutura alinhada a atividades recentes com nexo iraniano no Oriente Médio.
