Resumo sobre ameaças: Aumento do risco cibernético relacionado ao Irã (Atualizado em 30 de junho)

Resumo executivo

O recente conflito envolvendo o Irã, especialmente suas ações militares envolvendo Israel e os EUA, aumenta significativamente o risco de repercussão cibernética. Isso amplia os campos de batalha tradicionais para o âmbito digital.

Embora ainda não tenhamos visto um aumento drástico nos ataques cibernéticos dirigidos pelo Irã, novas escaladas podem se manifestar como um aumento nas operações cibernéticas tanto de grupos patrocinados pelo Estado quanto de hacktivistas independentes. Seus objetivos seriam interromper, coletar informações de inteligência ou influenciar adversários percebidos. Os grupos de ameaças iranianos têm um histórico de atacar infraestruturas críticas e setores sensíveis em empresas públicas e privadas em todo o mundo, e esses ataques podem ter consequências abrangentes.

Nos últimos dois anos, a Unit 42 observou grupos apoiados pelo Irã e hacktivistas expandindo suas operações cibernéticas globais, incluindo as seguintes atividades:

• Aproveitamento oportuno da IA generativa (GenAI) para engenharia social e operações de influência
• Vinculação explícita de ataques destrutivos a eventos geopolíticos

Essas atividades ocorrem em conjunto com as atividades pelas quais esses grupos são historicamente conhecidos. É possível que essas atividades se intensifiquem ainda mais devido aos eventos recentes envolvendo Israel e os EUA. Essas atividades incluem:

• Ataques destrutivos
• Desfigurações de sites
• Ataques de negação de serviço distribuídos (DDoS)
• Os ataques de exfiltração e de destruição (“wiper”) de dados, que lembram aqueles que observamos anteriormente de grupos iranianos que focam nos setores de educação e tecnologia israelenses

Rastreamos a atividade de ameaças em todo o mundo, sendo que o Irã é um dos quatro principais atores de Estados-nação que monitoramos, juntamente com a China, a Rússia e a Coreia do Norte. Os principais objetivos dos atores do Estado-nação iranianos frequentemente incluem espionagem e interrupção de serviços. Esses grupos usam diversas táticas, técnicas e procedimentos (TTPs), incluindo campanhas direcionadas de spear phishing e a exploração de vulnerabilidades conhecidas. Observações específicas incluem:

• Infraestrutura secreta para espionagem: Um caso recente identificado pela Unit 42 revelou uma suspeita de infraestrutura secreta iraniana se passando por uma agência de modelos alemã para realizar espionagem cibernética. Essas operações implantam sites falsos para coletar dados abrangentes de visitantes, sugerindo objetivos estratégicos de coleta de informações.
• Engenharia social aprimorada por IA: Recentemente, observamos um grupo de ameaças iraniano (Agent Serpens, também conhecido como CharmingKitten) que usa IA generativa em um PDF malicioso, mascarado como um documento da organização de pesquisa sem fins lucrativos RAND dos EUA. O grupo implantou esse PDF em conjunto com malware direcionado.
• Operações destrutivas persistentes: O grupo de APT apoiado pelo Irã Agonizing Serpens, atacou os setores de educação e tecnologia israelenses de janeiro a outubro de 2023, com o objetivo de roubar dados sensíveis, como informações de identificação pessoal (PII) e propriedade intelectual. Nesses ataques, também foram usados wipers para destruir sistemas e impedir a análise forense.

No contexto geopolítico atual do Irã, identificamos quatro áreas principais de possíveis atividades de ameaças cibernéticas:

• Atores de ameaça do Estado-nação iraniano: No curto prazo, é provável que os hackers do Estado-nação iraniano utilizem ataques direcionados, desde e-mails de spear phishing direcionados a diplomatas até malwares wiper destrutivos focados em organizações vinculadas aos interesses dos EUA.
• Hacktivistas: É provável que hacktivistas que apoiam o Irã continuem a realizar ataques disruptivos e operações de influência visando interesses dos EUA, tanto no país quanto no exterior. Isso inclui ataques DDoS para interromper o acesso à Internet e operações de influência em plataformas de mídia social.
• Grupos de criminosos cibernéticos: Esses grupos poderiam explorar de forma oportuna a incerteza global para lançar campanhas de phishing, utilizando os eventos mundiais como tema de e-mails e anexos maliciosos.
• Outros agentes do Estado-nação: Existe a possibilidade de que outros atores de ameaça de Estados-nação usem os eventos para promover seus interesses. Esses ataques podem incluir operações de bandeira falsa, em que agentes de outros lugares, que não o Irã, disfarçam seus ataques para parecer que se originaram do Irã. Isso aconteceu quando a Rússia sequestrou a infraestrutura cibernética do Irã em 2019 para pegar carona em redes já comprometidas por atores iranianos.

Os clientes da Palo Alto Networks podem receber proteções e mitigações para essa atividade de ator de ameaças por meio dos seguintes produtos:

• Firewalls de próxima geração com Prevenção avançada contra ameaças
• Cortex XDR, XSIAM e Cortex Cloud

A equipe de Resposta a incidentes da Unit 42 também pode ser contatada para ajudar com um comprometimento ou para fornecer uma avaliação proativa para redução do risco.

Escopo atual dos ataques cibernéticos

A Unit 42 rastreia vários atores patrocinados pelo Estado iraniano sob o nome de constelação Serpens. Esses grupos podem aumentar ou intensificar a atividade nas próximas semanas.

As capacidades cibernéticas iranianas patrocinadas pelo Estado, frequentemente, são usadas para criar e ampliar mensagens políticas (muitas vezes usando táticas destrutivas e psicológicas). É provável que esses esforços se concentrem em alvos regionais (por exemplo, Israel), bem como no que eles consideram alvos de alto valor (por exemplo, políticos, principais tomadores de decisão e outras entidades diretamente envolvidas).

As campanhas patrocinadas pelo Estado podem ter como alvo as cadeias de suprimentos, a infraestrutura crítica, os fornecedores ou os provedores.

A maioria dos ataques cibernéticos já relatados relacionados a esse evento são ataques de negação de serviço (DoS) intencionalmente disruptivos. Outros criminosos, como hacktivistas e atores proxy, geralmente, apoiam um lado ou outro, com o objetivo de impactar e influenciar negativamente o lado oposto.

Desde 22 de junho de 2025, 120 grupos de hacktivistas estão supostamente ativos em resposta a esses eventos. Outros relatórios públicos indicam que tanto os grupos de criminosos cibernéticos quanto os grupos de proxy apoiados pelo Estado também estão ativos.

O DDoS parece ser o método de ataque mais relatado, seguido por ataques destrutivos. Amostras de malware destrutivo, como wipers de dados relacionados a esses eventos, foram observadas pelos pesquisadores. Os ataques destrutivos também incluem a destruição de US$ 90 milhões de fundos em uma violação de uma bolsa de criptomoedas em junho de 2025.

Outras violações de dados e vazamentos de dados associados têm o objetivo de prejudicar ambos os lados. Os relatórios também indicam o direcionamento da tecnologia operacional (OT). Às vezes, esses dois fatores estão relacionados, pois violações de dados de empresas de energia e outras empresas de serviços públicos também foram relatadas em relação direta a esses eventos.

Grupos de ameaças iranianos rastreados pela Unit 42

• Agent Serpens (também conhecido como APT42)
  • Um grupo de espionagem e vigilância com foco em Israel e nos EUA, que tem como alvo dissidentes, ativistas, jornalistas e outros grupos considerados de risco ou que protestam contra o governo iraniano
  • Acesso inicial: Principalmente spear phishing, que inclui coleta de credenciais com páginas de login falsas, além de ataques de watering hole
• Agonizing Serpens (também conhecido como Pink Sandstorm)
  • Esse grupo se envolve em ataques de espionagem, ransomware e malware destrutivo contra alvos no Oriente Médio, com um foco significativo em ataques contra Israel.
  • Acesso inicial: Ataques de senha (por exemplo, força bruta, pulverização (spray) de senhas), bem como exploração de vulnerabilidades conhecidas (seguidas pela implantação de web shells)
• Boggy Serpens (também conhecido como MuddyWater)
  • Um grupo de espionagem cibernética que fornece dados roubados e acessos ao governo iraniano, bem como a outros atores de ameaças
  • Acesso inicial: Spear phishing e exploração de vulnerabilidades conhecidas
• Curious Serpens (também conhecido como Peach Sandstorm)
  • Grupo de espionagem ativo desde 2013 que tem como alvo os setores aeroespacial, de defesa e de energia nos EUA, no Oriente Médio e na Europa. O grupo aproveitou a infraestrutura de nuvem, incluindo o Azure, para C2.
  • Acesso inicial: Ataques de pulverização de senha amplamente direcionados ou campanhas de engenharia social baseadas em recrutamento para fornecer malware personalizado, incluindo os backdoors Falsefont ou Tickler. Uma vez dentro, o grupo é conhecido por conduzir atividades de descoberta com ferramentas como AzureHound e Roadtools para coletar e despejar dados do Microsoft Entra ID.
• Devious Serpens (também conhecido como Imperial Kitten)
  • Um grupo de espionagem conhecido por visar fornecedores de TI no Oriente Médio como parte de campanhas de cadeia de suprimentos
  • Acesso inicial: Engenharia social por meio de mídias sociais, ataques de spear phishing e watering-hole para credenciais, implantação de web shells
• Evasive Serpens (também conhecido como APT34)
  • Um grupo de espionagem prolífico, conhecido por ter alvos amplos que se alinham aos interesses do Estado-nação
  • Acesso inicial: Usa muito o spear phishing, embora também tenha sido associado a outros ataques mais complexos, como campanhas de coleta de credenciais e sequestro de DNS
• Industrial Serpens (também conhecido como Chrono Kitten)
  • Um grupo de proxy iraniano associado a ataques disruptivos (por exemplo, ransomware, malware wiper, ataques de hack e vazamento) que se alinham aos interesses do estado
  • Acesso inicial: Engenharia social para distribuir spyware para Android hospedado em sites falsos, ataques de senhas (por exemplo, força bruta, pulverização (spray) de senhas) e exploração de vulnerabilidades conhecidas

Conclusão

Dada a variedade de táticas empregadas pelos atores de ameaças, uma defesa em várias camadas é mais eficaz, pois nenhuma ferramenta isolada pode oferecer proteção completa contra essas ameaças adaptáveis. Recomendamos que você se concentre na higiene de segurança básica, uma abordagem comprovada que oferece proteção resiliente contra uma ampla variedade de táticas.

Recomendamos tomar as seguintes precauções para ajudar a mitigar o impacto de possíveis ataques.

Recomendações táticas

• Aumentar a resposta a qualquer sinal de ameaça sempre que possível, especialmente aqueles associados a ativos voltados para a Internet, como sites, gateways de rede privada virtual (VPN) e ativos de nuvem
• Garantir que a infraestrutura voltada para a Internet esteja atualizada com patches de segurança e outras práticas recomendadas de proteção
• Treinar funcionários sobre táticas de phishing e engenharia social e monitorar continuamente as atividades suspeitas
• Em 30 de junho, a CISA, o FBI, o Centro de Crimes Cibernéticos do DoD e a NSA publicaram um informativo conjunto, “Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest” (Atores cibernéticos iranianos podem ter como alvo redes e entidades de interesse vulneráveis dos EUA), pedindo às organizações que permaneçam vigilantes contra possíveis operações cibernéticas direcionadas por atores de ameaças patrocinados ou afiliados ao Estado iraniano.

Recomendações estratégicas

• Iniciar ou atualizar planos de continuidade de negócios para qualquer equipe ou ativos que possam ser afetados por ataques digitais ou físicos
• Preparar-se para validar e responder a alegações de violações ou vazamentos de dados
  • Os atores de ameaça podem usar as alegações (mesmo que não sejam verdadeiras) para constranger ou assediar as vítimas ou para disseminar narrativas políticas

Como é provável que a atividade continue a se intensificar durante todo o período desses eventos, é importante manter-se atento a possíveis ataques. Os hacktivistas e os atores de ameaça apoiados pelo Estado têm sido oportunistas, fazendo com que fontes potencialmente inesperadas sejam alvo de ataques.

Atualizaremos este resumo de ameaças à medida que houver mais informações relevantes disponíveis.

Como a Palo Alto Networks e a Unit 42 podem ajudar

Os clientes da Palo Alto Networks podem usar diversas proteções e atualizações de produtos para identificar e se defender contra ameaças relacionadas a aspectos desses eventos.

Se você acha que pode ter sido comprometido ou tem um problema urgente, entre em contato com a Equipe de resposta a incidentes da Unit 42 ou ligue para:

• América do Norte: Ligação gratuita: +1 (866) 486-4842 (866.4.UNIT42)
• Reino Unido: +44.20.3743.3660
• Europa e Oriente Médio: +31.20.299.3130
• Ásia: +65.6983.8730
• Japão: +81.50.1790.0200
• Austrália: +61.2.4062.7950
• Índia: 00080005045107

Firewalls de próxima geração e Prisma Access com prevenção avançada contra ameaças

Prevenção avançada contra ameaças tem uma detecção integrada baseada em aprendizado de máquina que pode detectar explorações em tempo real.

Cortex

Cortex XDR, XSIAM e Cortex Cloud foram criados para impedir a execução de malwares maliciosos conhecidos. Eles também foram projetados para impedir a execução de malware desconhecido e outras atividades maliciosas usando a Proteção contra ameaça comportamental (Behavioral Threat Protection) e aprendizado de máquina com base no módulo de análise local (Local Analysis).