O confronto no terreno — identificado por Washington e Tel Aviv como as operações Epic Fury e Roaring Lion — também abriu uma segunda linha de fogo no mundo digital. Pesquisadores em cibersegurança detectaram um aumento notável de atividade hacktivista e de atores vinculados a Estados ou grupos simpatizantes que respondem por vias informáticas à escalada militar. O que antes eram pulsos isolados agora é percebido como uma campanha coordenada a várias frentes, desde ataques de recusa de serviço até campanhas de suplantação móvel e vazamentos de dados.
Um relatório recente de Radware documenta que alguns coletivos estão movendo a maioria do tráfego disruptivo: nomes como Keymous+ e DieNet concentraram a maior parte das queixas de DDoS nos primeiros dias do conflito. Você pode ler a análise completa no relatório técnico de Radware publicado pela empresa, que também detalha a cronologia das campanhas e os vetores mais usados.
O primeiro grande ataque distribuído em 28 de fevereiro foi atribuído a Hider Nex (também conhecido como Tunisian Maskers Cyber Force). De acordo com o compartilhado por Orange Cyberdefense, este grupo combina interrupções por DDoS com vazamentos de dados para ampliar seu impacto político, uma técnica com a qual buscam amplificar narrativas e pressionar objetivos concretos: o laboratório de inteligência de Orange oferece mais contexto sobre seu modus operandi.
Os números falam por si só: centenas de reclamações de ataques distribuídos, dezenas de organizações afetadas em mais de uma dúzia de países e uma concentração geográfica clara no Médio Oriente. Radware e outros fornecedores concordam que quase metade dos objetivos eram entidades governamentais, seguidas por instituições financeiras e operadores de telecomunicações. Isso torna infra-estruturas públicas e serviços críticos em branco prioritário, com consequências potenciais que vão além do simples “apagão” temporário.
A geografia das queixas mostra um padrão interessante: Kuwait, Israel e Jordânia concentraram uma parte desproporcional do volume de ataques na região, segundo os dados analisados por Radware. Ao mesmo tempo, atores pró-russos e outras collectivas têm reivindicado operações que, embora às vezes sejam difíceis de verificar imediatamente, acrescentam complexidade ao panorama porque misturam motivações ideológicas, geopolíticas e, em alguns casos, interesses criminosos.
A escalada não se limita a DDoS. Pesquisadores de Palo Alto Networks (Unit 42) documentaram reclamações de grupos pró-russos que apontaram para redes militares e sistemas sensíveis, enquanto empresas como CloudSEK alertaram sobre campanhas de phishing por SMS que distribuíam uma versão maliciosa da app de alerta civil israelense RedAlert para implantar malware móvel que rouba dados — uma estratégia desenhada para explorar a ansiedade da população em situações de crise. Você pode revisar o relatório técnico do CloudSEK sobre essa campanha aqui: CloudSEK: campanha RedAlert falsa.
Paralelamente, assinaturas de inteligência como Flashpoint apontaram operações atribuídas a entidades estatais iranianas orientadas para infra-estruturas energéticas e centros de dados regionais — com objectivos claros sobre impacto económico — enquanto analistas de Check Point identificaram a reincidência de atores com alias anteriores que procuram aproveitar o clima de tensão para expandir sua atividade na região. Para aprofundar a evolução da capacidade ofensiva iraniana, o blog Check Point oferece uma leitura detalhada: Check Point: capacidades cibernéticas iranianas.
Nozomi Networks, especializada em ambientes industriais, tem posto atenção em grupos de maior sofisticação que têm cuidado suas operações em setores como defesa, aeroespacial e telecomunicações, mostrando que o conflito pode traduzir-se em ameaças contra sistemas OT/ICS. Seu relatório sobre tendências em OT e IoT descreve esses movimentos e recomendações para operadores de infraestrutura crítica: Nozomi Networks: tendências OT/IoT.
No plano económico, os mercados de criptomoedas iranianas permaneceram operacionais, mas com restrições operacionais e medidas de precaução. TRM Labs seguiu de perto como as exchanges locais ajustaram suas políticas de aposentadoria e funcionamento para gerenciar risco e conectividade limitada: TRM Labs: resposta do mercado cripto iraniano. Especialistas apontam que, durante crise, as infra-estruturas financeiras alternativas se submetem a um “teste de estresse” que revela dependências e pontos frágeis.
Empresas de cibersegurança como Sophos e SentinelOne têm observado um aumento em ações de hacktivistas e atores pró-estado, embora diferem na avaliação do risco imediato: enquanto alguns veem um aumento na atividade de baixa complexidade e alto ruído, outros alertam sobre a possibilidade de as capacidades se tornarem mais destrutivas ou se mezclem com táticas criminosas como o ransomware. Sophos publicou um aviso sobre a situação e como monitorar a exposição: Sophos: Aviso de risco cibernético.
As autoridades também reagiram. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) tem instado as organizações a reforçar defesas contra DDoS, phishing e ameaças a sistemas industriais, e disse diretrizes para mitigar o impacto enquanto a tensão regional persiste: recomendações do NCSC. Nos Estados Unidos, a agência CISA mantém alertas sobre ataques a ambientes ICS e outras infra-estruturas críticas: CISA: Avisos sobre ICS.
O que significa isto para empresas e administrações? A curto prazo, a prioridade é simples na sua formulação, mas complexa na execução: reforçar a detecção contínua, diminuir a superfície exposta à Internet, validar a segmentação entre TI e OT, e endurecer controles de identidade e acesso. As organizações com ativos industriais devem prestar especial atenção à visibilidade e à capacidade de resposta em tempo real, como recomenda a Nozomi Networks em seus guias para operadores críticos: recomendações de Nozomi.
No plano estratégico, analistas como Cynthia Kaiser e equipamentos de inteligência de empresas privadas sublinham que o Irã e outros estados aprenderam a usar uma mistura de atores: grupos oficiais, proxies e criminosos com agendas híbridas. Essa diversidade permite aos estados recusar responsabilidade ou multiplicar o impacto sem assinar cada ação, uma dinâmica que complica tanto a atribuição como a dissuasão. A reflexão de especialistas e ex-funcionarios pode ser consultada em suas publicações e redes profissionais, por exemplo no comentário de Kaiser no LinkedIn: post de Cynthia Kaiser.
Por último, este episódio lembra que a segurança digital é já uma extensão inevitável da política externa e da segurança nacional. A “guerra híbrida” moderna mistura mísseis e malware, discursos e vazamento de dados, e exige uma resposta que combine inteligência técnica, cooperação internacional e preparação operacional em todos os sectores críticos. Para quem gere riscos, a conclusão é clara: não se trata apenas de reagir a um incidente, mas de antecipar e conceber resiliência em camadas que amortigüe tanto o ruído como o impacto real.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...