Agências de segurança cibernética dos EUA emitiram um alerta conjunto sobre possíveis ataques cibernéticos de grupos patrocinados ou afiliados ao governo iraniano. O comunicado destaca um aumento recente na atividade de hacktivistas e agentes ligados ao Irã, intensificada pelas tensões geopolíticas com Israel. Embora não haja indícios de uma campanha coordenada, os alvos mais vulneráveis são empresas do setor de defesa, especialmente aquelas com vínculos israelenses, além de redes de tecnologia operacional (OT) e infraestrutura crítica.
Os grupos iranianos exploram brechas como software desatualizado, senhas fracas ou padrão de fábrica, e dispositivos expostos à internet. Os ataques frequentemente começam com mapeamentos via ferramentas como Shodan, permitindo identificar pontos vulneráveis. Após a invasão, os agentes avançam lateralmente nas redes usando falhas de segmentação, RATs, keyloggers e utilitários legítimos como PsExec e Mimikatz para escalar privilégios, burlando defesas convencionais.
A ameaça se soma a uma campanha recente do grupo APT35, que usou técnicas de spear phishing para roubar credenciais de jornalistas e especialistas israelenses, com páginas falsas do Gmail e convites do Google Meet. As agências recomendam mitigações como desconectar ativos OT da internet pública, adotar senhas fortes com autenticação multifator, aplicar atualizações de segurança, monitorar acessos remotos e manter cópias de segurança completas. Ferramentas como o programa Cyber Hygiene da CISA ou o scanner Nmap podem ajudar a identificar vulnerabilidades antes dos invasores. Mesmo com negociações em curso para um cessar-fogo, os EUA alertam que ataques cibernéticos de baixo nível podem continuar.
