O recente alerta do FBI sobre o uso do Telegram como infra-estrutura de comando e controle por parte de atores iranianos torna-se evidenciado algo que os especialistas em cibersegurança vêm alertando há anos: as plataformas de mensagens, desenhadas para a comunicação cotidiana, também podem se tornar canal para operações ofensivas complexas. No seu aviso público, o organismo afirma que campanhas direcionadas a jornalistas críticos com o governo iraniano, dissidentes e outros grupos de oposição utilizaram links e arquivos maliciosos para colar malware em equipamentos com Windows e, daí, extrair telas, documentos e outras informações de valor.
Não se trata apenas de phishing simples: é coleta de inteligência mascarada. Segundo o FBI, as intrusões não só procuravam a interrupção; buscavam acumular dados que depois foram filtrados ou utilizados para prejudicar a reputação das vítimas. Em muitos casos, os atacantes combinaram engenharia social com ferramentas que permitem controlar remotamente os equipamentos comprometidos, uma técnica que torna a vítima apenas note a presença do adversário até que já é tarde demais. O comunicado técnico do FBI, publicado em seu boletim IC3, fornece detalhes sobre os indicadores de compromisso e recomendações para mitigar o risco: ver PDF do IC3 do FBI.
O relatório do FBI liga essas campanhas a coletivos com afinidade iraniana, incluindo o grupo hacktivista conhecido como Handala e um grupo com apoio estatal referido como Homeland Justice. Além disso, os pesquisadores mencionam um ator separado apodado Karma Below, todos eles relacionados com exfiltração de dados e publicações em sites que serviram como buzones públicos para documentos roubados. Em resposta a estas operações, as autoridades americanas confiscaram recentemente vários domínios utilizados por esses grupos, bloqueando temporariamente um dos canais que usavam para divulgar material sutraído.
Um caso que ilustra até que ponto essas campanhas podem prejudicar infra-estruturas críticas é o incidente contra a multinacional do setor médico Stryker. Nessa intrusão, os atacantes conseguiram privilégios administrativos em um domínio do Windows e lançaram uma ordem remota para apagar ou restaurar vários dispositivos gerenciados através do Microsoft Intune. O resultado foi a perda massiva de dados em equipes da empresa e de trabalhadores cuja gestão residia no sistema corporativo. Para entender melhor a capacidade de Intune para remover remotos (uma funcionalidade legítima que os atacantes podem abusar se obter credenciais com privilégios), a Microsoft documenta como funciona a ação de "wipe" em seu portal: mais informações sobre a remoção remota do Intune.
Outra arista preocupante é a reutilização de plataformas de mensagens não apenas como vetor passivo (ligações ou arquivos), mas como infra-estrutura ativa de comando e controle. O Telegram, por sua natureza de canais e bots, oferece mecanismos que os adversários podem aproveitar para enviar instruções para malware ou receber dados exfiltrados sem passar por servidores próprios de difícil rastreabilidade. Isso complica a detecção, porque o tráfego para o Telegram pode parecer legítimo e criptografado, e muitas organizações permitem o uso dessas aplicações por motivos laborais ou pessoais.
Em paralelo à atividade iraniana, as autoridades também alertaram sobre campanhas orquestradas por atores relacionados com serviços de inteligência russos que apontam usuários de mensagens como Signal e WhatsApp. Esses ataques costumam basear-se em técnicas de phishing desenhadas para sequestrar contas mediante a obtenção de códigos de verificação ou o engano para que a vítima facilite acesso. Certificados nacionais e agências europeias publicaram avisos que descrevem esquemas semelhantes, o que confirma que o risco se estende para além de uma única plataforma ou geografia; um exemplo de alerta emitido por autoridades francesas pode ser consultado aqui: Aviso do CERT-FR sobre campanhas contra mensagens.
O que pode fazer uma pessoa ou uma equipe de trabalho para reduzir o risco? Primeiro, assumir que as plataformas de mensagens são um vetor legítimo: desconfiar de ligações ou arquivos inesperados, mesmo que sejam provenientes de contatos conhecidos cuja conta poderia estar comprometida. Segundo, proteger as contas com autenticação multifator robusta e evitar receber códigos de acesso por SMS quando possível, uma vez que este canal é susceptível de sequestro. Terceiro, aplicar o princípio de menor privilégio na administração de sistemas: nem todos os usuários devem ter direitos para criar administradores ou lançar ações de remoção remotas. Além disso, manter sistemas e aplicações atualizados reduz a superfície de exploração que os atacantes procuram aproveitar.
Para organizações, é fundamental para a detecção de comportamentos anormais (por exemplo, tráfego incomum para serviços de mensagens de servidores que nunca devem aceder a eles) e rever políticas de uso de aplicativos pessoais em equipamentos corporativos. As cópias de segurança verificadas e isoladas são outro componente imprescindível: se um adversário consegue apagar dispositivos ou cifrar dados, uma recuperação confiável limita o impacto operacional e reputacional.
O panorama que desenham esses alertas é o de uma guerra de informação onde o intercâmbio de mensagens e a autenticidade das contas são armas e objetivos. A convergência entre técnicas de engenharia social, abuso de serviços legítimos e operações geopolíticas faz com que este tipo de ameaças não diminua com um simples adesivo. Requer, em contrapartida, uma combinação de higiene digital individual, controlos técnicos e cooperação internacional entre empresas e autoridades para identificar, bloquear e desmantelar as infra-estruturas utilizadas pelos atacantes.
A recomendação final é manter-se informada a partir de fontes oficiais e especializadas e agir com cautela: consultar o relatório técnico do FBI sobre essas campanhas pode ajudar as equipes de segurança e os usuários a reconhecer indicadores de compromisso e adotar medidas concretas antes que a exposição se traduza em perda de dados ou dano reputacional. Para aqueles que querem aprofundar os detalhes técnicos e recomendações, o boletim do IC3 do FBI e os alertas das equipes de resposta nacionais são bons pontos de partida: IC3 / FBI e CERT-FR.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...