A
BSORVEDOR

  

(c) 2023 am|dev

(A) :: Irão: Da ameaça militar declarada à guerra cibernética e à manipulação digital

Irão: Da ameaça militar declarada à guerra cibernética e à manipulação digital

Portugal tornou-se mais visível no conflito após a utilização da Base das Lajes. Isto não significa que seja um alvo prioritário de sabotagem, mas aumenta a probabilidade de ataques.

Rui Martins
text

A análise realizada em finais de fevereiro de 2026 pela CpC: Iniciativa Cidadãos pela Cibersegurança das contas em redes sociais associadas a representantes iranianos e a estruturas ligadas à respetiva embaixada em Portugal revela um conjunto consistente de padrões que devem merecer atenção séria de quem se preocupa com a segurança interna, a cibersegurança e a própria resiliência democrática do país.

Estamos a falar de um regime cujo parlamento aprovou de forma unânime uma declaração política classificando como hostil a decisão da União Europeia de designar a Guarda Revolucionária Islâmica (IRGC) como organização terrorista e que, em retaliação, declarou como “terroristas” todos os militares dos países europeus membros da NATO, incluindo Portugal. Esta decisão não é apenas simbólica. À luz dessa votação, militares portugueses passam a ser considerados alvos legítimos pelas forças direta ou indiretamente controladas por Teerão na Síria, no Iraque, no Iémen, no Líbano ou na Palestina.

A ação militar por parte dos EUA e Israel, com ações defensivas por parte de vários países europeus no Médio Oriente e no Mediterrâneo Oriental e a utilização – autorizada – da bases das Lajes como plataforma de ligação e apoio às operações contra a República Islâmica fizeram aumentar significativamente a probabilidade de ataques cibernéticos conduzidos por organizações direta ou indiretamente patrocinados pelo Estado iraniano, por grupos hacktivistas alinhados com Teerão ou com os seus aliados estratégicos (China e Rússia) ou, simplesmente, por grupos criminosos que cooperam com interesses do regime (como tem sido amplamente documentado no Reino Unido e no norte da Europa).

Historicamente, estes atores pró-regime de Teerão têm usado um conjunto de técnicas relativamente previsíveis: implantação latente em redes de sistemas críticos, espionagem digital, ataques disruptivos, sabotagem técnica e campanhas de influência nas redes sociais. De sublinhar que, neste contexto, a linha entre hacktivistas e operações estatais é frequentemente difusa uma vez que muitos grupos aparentemente independentes mantêm ligações diretas ou indiretas com a Guarda Revolucionária Islâmica ou com o Ministério da Inteligência do Irão e que essa confusão faz parte da cortina de fumo e dos processos de “negação plausível” que são uma ferramenta padrão nestas operações de ciberguerra.

Tanto quanto é possível apurar neste momento (março de 2026) os principais grupos de ameaça persistente (APTs)( associados ao regime iraniano são:
Charming Kitten (APT35 / Phosphorous): Grupo altamente ativo em campanhas de spear-phishing contra entidades políticas, militares e empresariais ocidentais. O seu objetivo principal é espionagem e recolha de informação estratégica.
APT33 (Elfin / Holmium): Grupo diretamente associado à Guarda Revolucionária iraniana. É conhecido por ataques contra infraestruturas críticas, especialmente nos setores da energia e da aviação. Utiliza spear-phishing, password spraying e exploração de vulnerabilidades.
MuddyWater (APT37 / Seedworm): Opera em múltiplos continentes e setores, incluindo governo, defesa, telecomunicações, energia e finanças. Utiliza malware desenvolvido internamente e explora vulnerabilidades conhecidas para obter acesso inicial.

Estes grupos operam frequentemente em campanhas prolongadas de intrusão com objetivos de espionagem ou sabotagem.

A este respeito o APT33 merece algum detalhe não só por sere um dos mais conhecidos e ativos mas também porque parece ser uma das principais estruturas de ciberguerra usadas por Teerão.

O ponto de entrada do APT33 é quase sempre o erro humano, normalmente através de campanhas de spear-phishing com anexos maliciosos (ultimamente PDFs) ou links para páginas fraudulentas para captura de credenciais. Paralelamente, o grupo utiliza password spraying contra contas empresariais e serviços cloud. Após a intrusão inicial, o APT33 usa ferramentas amplamente disponíveis como PowerShell, VBScript, Empire ou PowerSploit para manter acesso remoto e movimentação lateral.
A recolha de credenciais é um ponto central da sua atividade. O grupo utiliza ferramentas como Mimikatz ou LaZagne para extrair passwords da memória do sistema, browsers ou políticas de grupo. A persistência do acesso é garantida através de técnicas simples mas eficazes: chaves de arranque no registo do Windows, tarefas (tasks) agendadas, subscrições WMI e regras em contas Outlook. O sistema de comando e controlo (C2) do APT 33 utiliza frequentemente tráfego HTTP ou HTTPS disfarçado, com codificação base64 ou encriptação AES.

Os seus alvos preferenciais têm sido nos últimos anos: energia, petróleo e gás, empresas de aviação civil e militar, indústrias ligadas à defesa, logística crítica e universidades que têm projetos de investigação com aplicação militar.

Para além dos APT diretamente controlados pelo regime iraniano, existem várias frentes hacktivistas associadas ao regime iraniano. Sendo que, entre elas se destaca o Cyber Av3ngers, um grupo ligado à Guarda Revolucionária que tem atacado sistemas industriais e equipamentos de controlo industrial expostos à Internet. Nestes ataques o  Cyber Av3ngers  explora frequentemente algumas formas de acesso: credenciais por defeito, vulnerabilidades conhecidas, dispositivos SCADA ou ICS mal configurados. Nesta área do hacktivismo, outro grupo relevante é o Pioneer Kitten, que tem sido associado a intrusões em infraestruturas de saúde e na indústria aeroespacial europeia.

Desde que começaram as operações militares de EUA e Israel contra alvos no Irão vários investigadores de cibersegurança confirmam que hackers iranianos iniciaram operações de reconhecimento digital e ataques de negação de serviço após os ataques militares dos EUA e de Israel. Neste contexto foram observados: ataques de sondagem a APIs e aplicações móveis, intrusões com malware associado ao grupo Cotton Sandstorm, implantação de infostealers como WezRat e a  utilização de ransomware WhiteLock em algumas intrusões
Estas atividades sugerem uma fase de pré-posicionamento em redes alvo, prática comum antes de ataques mais destrutivos que devem estar, neste momento, em preparação ou já programados.

Grupos pró-iranianos alegaram nos últimos dias intrusões em sistemas industriais em vários países, incluindo Israel, Jordânia e Polónia. Muitos destes ataques não foram confirmados de forma independente, mas fazem parte de uma estratégia típica do regime: combinar ataques reais com propaganda digital para amplificar o impacto psicológico. Um exemplo concreto foi a campanha conduzida pelos CyberAv3ngers contra sistemas de água nos Estados Unidos, explorando PLCs expostos com passwords por defeito.

Durante o atual conflito foram também observadas campanhas para comprometer câmaras de vigilância IP conectadas à Internet em que os atacantes exploram vulnerabilidades conhecidas em dispositivos Hikvision e Dahua explorando as vulnerabilidades CVE-2017-7921, CVE-2021-36260, CVE-2023-6895, CVE-2025-34067 e CVE-2021-33044. Este tipo de acesso permite vigilância em tempo real de alvos físicos e pode ser utilizado para preparar ataques militares ou avaliar danos após ataques. Um caso documentado ocorreu quando hackers comprometeram câmaras próximas do Instituto Weizmann em Israel antes de um ataque com mísseis.

De sublinhar que a possibilidade de ataques cibernéticos ocorre num momento particularmente sensível nos EUA: A agência responsável pela proteção de infraestruturas críticas, a Cybersecurity and Infrastructure Security Agency (CISA), enfrenta uma redução significativa de pessoal e orçamento (pelo menos 1/3 do pessoal saiu desde a tomada de posse de Trump), mudanças polémicas de liderança e cancelamento de avaliações de segurança devido a cortes orçamentais. Este contexto pode reduzir a capacidade de resposta a ataques não somente nos EUA mas em todos os países ocidentais que dependiam em parte dos alertas e da intervenção da CISA para protegerem as suas próprias redes

Por outro lado, e noutra frente relacionada, o Irão possui um histórico consistente de campanhas de desinformação digital. Durante períodos de conflito estas campanhas procuram: amplificar o medo entre a população civil, exagerar o impacto de ataques e criar confusão informativa. Estas operações incluem frequentemente contas falsas nas redes sociais, “idiotas úteis”, a amplificação artificial de conteúdo gerado por IA (com deepfakes) e a exploração de divisões políticas nas sociedades do ocidente.

A análise de redes sociais associadas a representantes iranianos em Portugal revela padrões típicos de campanhas de influência nomeadamente a convergência artificial entre extrema-esquerda anti-NATO e extrema-direita nacionalista
presença significativa de perfis estrangeiros sem ligação real a Portugal existência de contas com características de perfis falsos. Observa-se também a presença de perfis institucionais iranianos misturados com contas pessoais e a presença de perfis de deputados de vários deputados no Parlamento como seguidores destas contas iranianas, criando ambiguidades quanto ao estatuto diplomático das comunicações e dúvidas sobre a real influência do regime na Assembleia da República.

Em Portugal, acreditamos que os alvos mais plausíveis de operações cibernéticas incluem organizações com valor estratégico.  Entre as quais se destacam EDP, REN Galp, ANA Aeroportos, TAP, OGMA, Infraestruturas de Portugal e Porto de Sines. No domínio tecnológico e industrial surgem empresas como: Tekever, EID e EFACEC e na Academia, outros alvos prováveis podem ser encontrados em universidades com investigação sensível podem também ser alvo indireto.

Portugal tornou-se mais visível no conflito após o governo confirmar a utilização da Base das Lajes pelos Estados Unidos no contexto da operação contra o Irão. Isto não significa que Portugal seja um alvo prioritário de sabotagem, mas aumenta a probabilidade de: campanhas de propaganda, ataques DDoS oportunistas e operações de espionagem digital.

As organizações estatais e privadas portuguesas devem assumir que os ataques mais prováveis são relativamente simples e que podem assumir uma, ou várias, destas formas: Phishing, credenciais roubadas, vulnerabilidades não corrigidas e acessos remotos mal configurados (VPN e Cloud: sobretudo). Entre as medidas recomendadas incluem-se: autenticação multifator obrigatória, redução da superfície de ataque externa, segmentação entre redes IT e OT, monitorização contínua de tráfego, gestão rigorosa de vulnerabilidades, formação obrigatória contra phishing e testes regulares de recuperação de backups.

O conflito atual demonstra que a frente digital se tornou inseparável da frente militar e que, hoje em dia, não é um “add-on” mas um componente central de qualquer planeamento militar. À medida que o conflito evolui, é provável que ataques cibernéticos, de ambos os lados, se intensifiquem e atinjam um número maior de países e setores estratégicos e que Portugal embora não seja o alvo mais óbvio não está – pelas Lajes e pela sua pertença à OTAN – de estar na periferia política do problema e que a melhor defesa continua a ser disciplina operacional, redução de exposição digital e cooperação internacional em matéria de cibersegurança.