A escalada militar entre Estados Unidos, Israel e Irã, iniciada em 28 de fevereiro de 2026 com a Operação Epic Fury, não se limita ao campo de batalha convencional. No ciberespaço, uma guerra paralela está em pleno andamento e sua escala é sem precedentes. Neste artigo do blog Dolutech, vamos mergulhar em um dos cenários mais complexos de ciberguerra da história recente, onde mais de 60 grupos hacktivistas foram identificados atuando ativamente contra alvos dos EUA, Israel e nações aliadas no Golfo Pérsico.
O Contexto: Operação Epic Fury e o Estopim da Ciberguerra
Em 28 de fevereiro de 2026, os Estados Unidos e Israel lançaram uma ofensiva militar coordenada massiva contra o Irã, batizada de “Operation Epic Fury” pelos americanos e “Operation Roaring Lion” pelos israelenses. Os ataques aéreos e navais atingiram mais de 2.000 alvos estratégicos, incluindo instalações nucleares, bases militares do Corpo de Guardiões da Revolução Islâmica (IRGC), centros de comando e liderança do regime iraniano. Autoridades confirmaram a morte do Líder Supremo, Aiatolá Ali Khamenei, do comandante do IRGC Mohammad Pakpour, do Ministro da Defesa Aziz Nasirzadeh e de dezenas de outros oficiais de alto escalão.
A conectividade de internet do Irã caiu para aproximadamente 1% a 4% da capacidade normal nos dias seguintes aos ataques, o que, paradoxalmente, não silenciou as operações cibernéticas iranianas. Pelo contrário, apenas as descentralizou. Hackers e grupos hacktivistas operando fora do Irã entraram em ação massiva, e o ecossistema de proxies cibernéticos do regime começou a se mobilizar de forma autônoma, seguindo diretrizes previamente estabelecidas para cenários em que “uma linha vermelha fosse cruzada”, como a eliminação da liderança suprema.
Mais de 60 Grupos Hacktivistas Identificados
O analista australiano de ameaças conhecido como “CyberKnow” identificou aproximadamente 60 grupos hacktivistas que entraram no conflito digital, incluindo coletivos pró-Irã, pró-Palestina, pró-Rússia e de diversas outras origens ideológicas. A Palo Alto Networks, por meio da sua equipe Unit 42, confirmou essa estimativa em seu relatório de março de 2026, destacando a participação também de grupos pró-russos.
Entre 28 de fevereiro e 2 de março de 2026, a empresa de segurança Radware documentou 149 ataques DDoS reivindicados por 12 grupos distintos, atingindo 110 organizações em 16 países. Os dados revelaram uma paisagem de ameaças altamente concentrada, com apenas três grupos respondendo por quase 75% de todas as reivindicações globais: o Keymous+ com 26,8%, o DieNet com 25,5% e o NoName057(16) com 22,2%.
Na Dolutech, acompanhamos de perto esse tipo de movimentação porque entendemos que a cibersegurança não é um tema isolado. Ela reflete diretamente os conflitos geopolíticos do nosso tempo.
Os Principais Grupos e Suas Táticas
Keymous+: O Agressor Mais Prolífico
Coletivo hacktivista que surgiu no final de 2023, com origens prováveis na Argélia, o Keymous+ liderou os ataques DDoS contra Israel, focando em telecomunicações e tecnologia. O grupo se identifica como “hackers norte-africanos” e mescla hacktivismo ideológico com cibercrime comercial. Sozinho, foi responsável por 35,5% de todas as reivindicações de ataques no Oriente Médio durante a janela inicial do conflito, atingindo empresas como Bezeq, Partner Communications e Advantech Wireless.
DieNet: Ativismo Anti-EUA em Escala Global
O DieNet é um grupo pró-palestino que emergiu em março de 2025, com retórica abertamente anti-Trump e anti-imperialista. Suas campanhas atingiram websites governamentais do Qatar, Bahrain e Emirados Árabes, sendo o primeiro grupo hacktivista pró-Irã a expandir ataques DDoS para além do Golfo e dos EUA. Nos dias iniciais do conflito, o DieNet também reivindicou ataques contra um porto norte-americano, demonstrando disposição para atingir diretamente o território dos Estados Unidos.
Handala Hack Team: Braço Operacional do MOIS
O Handala Hack Team é avaliado por múltiplas empresas de cibersegurança e governos como uma persona operada pelo Void Manticore, ator vinculado ao Ministério de Inteligência e Segurança do Irã (MOIS). O grupo, ativo desde 2023, lançou um site chamado “RedWanted” em 1º de março, listando nomes e informações de indivíduos e organizações que apoiam Israel, declarando que irão “caçá-los até que a justiça seja feita”. Suas operações incluem vazamento de dados, ataques wiper para destruição de dados e comprometimento de cadeias de suprimentos de TI. A Sophos observou que o grupo frequentemente exagera suas capacidades, mas possui habilidade confirmada para executar roubo de dados e ataques destrutivos.
NoName057(16): A Conexão Russa
Em 2 de março, o grupo pró-russo NoName057(16), conhecido por ataques contra a Ucrânia e alvos da OTAN, entrou na campanha pró-iraniana, atacando alvos governamentais, de telecomunicações e de defesa israelenses. Essa aliança de conveniência entre hacktivistas pró-russos e pró-iranianos representou uma ampliação significativa da frente cibernética. Na Europa, o grupo foi responsável por 73,53% de todas as reivindicações de ataques, com foco principal na Dinamarca, Alemanha e Espanha.
Outros Grupos Relevantes no Cenário
Nós também identificamos na pesquisa outros grupos importantes nesse cenário. O Cyber Toufan, o Iranian Avenger, a Conquerors Electronic Army, o Sylhet Gang (coletivo bengali pró-palestino), a 313 Team, o Cyber Isnaad Front e o Hider Nex (coletivo tunisiano) estão entre os que demonstraram atividade. A Conquerors Electronic Army concentrou seus ataques no setor de varejo e finanças de Israel, enquanto o Sylhet Gang mirou o Ministério do Interior da Arábia Saudita em retaliação ao uso de bases e espaço aéreo sauditas pelos EUA.
Um destaque preocupante é o grupo de Ransomware-as-a-Service BaqiyatLock (também chamado BQTlock), que passou a oferecer afiliações gratuitas para qualquer hacktivista que consiga “atacar a entidade sionista”, representando uma convergência perigosa entre hacktivismo e cibercrime organizado.
Alvos Prioritários e Setores Mais Atacados
Os dados coletados pela Radware e por outras empresas de inteligência de ameaças revelam um padrão claro de focalização estratégica. O setor governamental foi o alvo principal, concentrando 47,8% de todos os ataques globais. Em seguida vieram os setores financeiro com 11,9%, telecomunicações com 6,7%, transportes com 5,2% e manufatura com 4,5%.
Geograficamente, Kuwait com 29,1%, Israel com 19,5% e Jordânia com 15,4% foram os países mais atacados na região do Oriente Médio. Na Europa, a Dinamarca recebeu 55,9% dos ataques regionais, impulsionados principalmente pela atividade do NoName057(16).
Um aspecto especialmente preocupante é o ataque a infraestrutura crítica. A CrowdStrike alertou que o grupo rastreado como Hydro Kitten fez ameaças específicas ao setor de serviços financeiros. Na Jordânia, o Centro Nacional de Cibersegurança confirmou ter frustrado um ataque iraniano ao sistema de gerenciamento de silos de trigo do país. Grupos hacktivistas também reivindicaram ataques a 130 sistemas de controle remoto de uma empresa israelense de automação chamada Control Applications Ltd. e a infraestrutura hídrica.
O Papel dos Grupos Patrocinados pelo Estado Iraniano
Enquanto a maioria da atividade hacktivista observada até o momento é de baixa sofisticação, concentrada em DDoS, defacement e doxxing, os grupos patrocinados diretamente pelo Estado iraniano representam a ameaça mais séria e de maior impacto potencial.
O CyberAv3ngers, vinculado ao Comando Cibernético-Eletrônico do IRGC e sancionado pelo Tesouro dos EUA, é considerado o ator de maior risco. Esse grupo já comprometeu anteriormente sistemas de tratamento de água nos Estados Unidos, explorando credenciais padrão em PLCs (Controladores Lógicos Programáveis) Unitronics expostos à internet. Seu malware customizado, chamado IOCONTROL, é projetado para atacar dispositivos IoT e OT de fabricantes como D-Link, Hikvision, Orpak e Gasboy.
Além disso, grupos APT iranianos como APT34, APT35, APT39, MuddyWater e APT42 continuam ativos, com foco em espionagem e localização de dissidentes do regime iraniano, mirando provedores de internet, sistemas médicos, telecomunicações e transporte. A equipe de pesquisa da Halcyon identificou ainda que o MuddyWater APT está montando uma operação cibernética ofensiva chamada “Operation Olalampo”, direcionada à região META (Oriente Médio, Turquia e África), utilizando TTPs que se sobrepõem a uma campanha separada rastreada como RedKitten.
O ransomware também entra na equação. O grupo Sicarii, uma operação de RaaS (Ransomware-as-a-Service) que surgiu em dezembro de 2025, apresenta uma falha crítica em sua criptografia: o malware descarta suas próprias chaves após criptografar arquivos, tornando a descriptografia permanentemente impossível tanto para vítimas quanto para operadores. Isso transforma o ransomware em uma ferramenta de destruição pura, e o grupo indicou recentemente a intenção de “criptografar tudo contra o maior número de vítimas possível”.
Como Mitigar Esses Riscos: Orientações Técnicas
Diante desse cenário, nós na Dolutech reforçamos que a preparação técnica é indispensável. Com base nas recomendações consolidadas por CISA, Sophos, BeyondTrust, Halcyon e CrowdStrike, organizamos os principais pontos de ação que toda organização deveria adotar agora.
Ações Imediatas (0 a 72 horas)
A primeira e mais urgente medida é auditar todos os dispositivos ICS/SCADA expostos à internet para verificar credenciais padrão e exposição desnecessária, conforme orientação do advisory CISA AA23-335A. É igualmente crítico validar que proteções contra DDoS estejam ativas em todos os ativos expostos à internet, incluindo portais de documentação, suporte e gerenciamento de licenças. A implementação de MFA resistente a phishing (FIDO2/WebAuthn) em todas as contas privilegiadas é outra medida que não pode ser adiada, abrangendo plataformas de gerenciamento de nuvem, provedores de identidade e acesso remoto. Por fim, deve-se reduzir ou eliminar a exposição de interfaces administrativas na internet, como consoles VPN, portais de acesso remoto e painéis de gerenciamento em nuvem.
Ações de Curto Prazo (72 horas a 2 semanas)
Para o médio prazo, as organizações devem monitorar transferências de dados anômalas para endpoints de armazenamento em nuvem desconhecidos, especialmente fora do horário comercial. É fundamental alertar equipes de SOC sobre o ambiente de desinformação vigente, já que muitas reivindicações de ataques são fabricadas ou exageradas para amplificar medo e incerteza. Também se recomenda revisar e restringir caminhos de acesso de fornecedores e provedores de serviços, especialmente para organizações que utilizam tecnologia OT de fabricação israelense ou possuem relações na cadeia de suprimentos de defesa.
Ações Estratégicas (2+ semanas)
Como medida estratégica de longo prazo, as organizações devem implementar detecção comportamental para precursores de ransomware e wipers, incluindo entrega incomum de atualizações de software, staging de ferramentas modulares em diretórios temporários e movimentação lateral pós-comprometimento de credenciais. É essencial também revisar e ensaiar planos de resposta a incidentes, incluindo restauração rápida a partir de backups para cenários de malware destrutivo. Grupos iranianos rotineiramente exploram vulnerabilidades publicamente divulgadas em vez de usar zero-days, portanto as organizações devem priorizar o patching de vulnerabilidades listadas no catálogo Known Exploited Vulnerabilities da CISA.
Desinformação: A Névoa de Guerra no Ciberespaço
Um ponto que merece destaque especial neste artigo é a guerra de narrativas que se desenrola em paralelo aos ataques técnicos. Como alertou Adam Meyers, da CrowdStrike, “neste estágio, muita da atividade publicizada parece ser orientada por reivindicações, não por evidências”. A empresa Hudson Rock reportou que muitas das violações de dados reivindicadas por hackers nos últimos dias são simplesmente fabricadas.
O CEO da CloudFlare, Matthew Prince, observou que a atividade cibernética maliciosa originada de dentro do Irã na verdade diminuiu desde o início dos ataques, possivelmente porque os operadores estão se abrigando durante os bombardeios e o blackout de internet imposto pelo regime está limitando suas capacidades. Isso forçou grupos iranianos a reciclar operações e personas antigas para parecerem mais ativos do que realmente são.
Do outro lado do conflito, os EUA e Israel conduziram operações cibernéticas próprias, incluindo o comprometimento de um popular aplicativo de orações iraniano para enviar mensagens diretamente a cidadãos iranianos e ataques a veículos de mídia do regime. A guerra de informação é, portanto, uma via de mão dupla, e o MS-ISAC alertou que o Irã historicamente é um “ator capaz em operações de informação” e que narrativas visando minar o apoio público ocidental ao conflito, amplificação de imagens e tentativas de fraturar a coalizão EUA-Israel devem se intensificar nas próximas semanas, possivelmente com uso de deepfakes gerados por inteligência artificial.
Conclusão: O Campo de Batalha Digital Se Expande
A ciberguerra entre EUA e Irã em 2026 é um marco na história da segurança cibernética global. Nunca antes tantos grupos hacktivistas se mobilizaram simultaneamente em resposta a um conflito militar, e a tendência é de escalada nas próximas semanas à medida que a conectividade iraniana se estabilize e elementos de comando sobreviventes restabeleçam coordenação.
Como a BeyondTrust avaliou em seu threat advisory, “a eliminação da liderança sênior do Irã não neutralizou sua capacidade cibernética ofensiva. Provavelmente a descentralizou.” O maior risco imediato não vem da estrutura de comando do IRGC, que precisará de tempo para se reconstituir, mas do ecossistema de proxies pré-posicionado que opera sob autoridade delegada ou motivação ideológica independente.
A janela de maior risco é estimada em 14 dias para ataques oportunistas, com um horizonte de 30 a 90 dias para operações deliberadas à medida que unidades cibernéticas iranianas reconstituídas retomem operações coordenadas.
Nós, na Dolutech, continuaremos monitorando e trazendo análises aprofundadas sobre esse cenário. A cibersegurança é uma responsabilidade de todos, e estar informado é o primeiro passo para uma defesa eficaz.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
