Hackers iranianos lançaram ataques contra Israel, Golfo Pérsico e EUA após os ataques militares de fevereiro de 2026. Entenda o que está acontecendo e o que sua empresa precisa saber.
No fim de semana de 28 de fevereiro de 2026, os EUA e Israel lançaram ataques aéreos contra o Irã. Nas horas seguintes, a guerra se expandiu para além dos territórios físicos. APIs governamentais foram sondadas. Sistemas industriais em Israel, Polônia, Turquia e Jordânia foram comprometidos, ou ao menos é isso que os grupos pró-Irã afirmam. A AWS sofreu outages em zonas dos Emirados Árabes e do Bahrein. E enquanto isso, uma enxurrada de posts nas redes sociais sobre ataques devastadores se espalhava com velocidade e precisão cirúrgica, a maioria deles, fabricada.
A guerra cibernética do Irã começou. O que ela revela sobre a internet que usamos é mais inquietante do que qualquer malware específico.
A anatomia de uma ciberguerra moderna
O conflito cibernético iraniano não é novidade. O país tem histórico documentado de operações sofisticadas, dos ataques contra infraestrutura hídrica nos EUA em 2023, quando o grupo CyberAv3ngers explorou senhas padrão em controladores lógicos programáveis de origem israelense, até 2024, quando o mesmo grupo, ligado ao IRGC, usou malware customizado para controlar remotamente sistemas de gestão de água e combustível americanos e israelenses.
O padrão se repete, refinado a cada ciclo: sondagem antecipada de vulnerabilidades, staging de malware (posicionamento de ferramentas ofensivas nas infraestruturas-alvo antes da execução), ataques coordenados no momento do conflito, e — crucialmente — operações de desinformação para amplificar o impacto psicológico mesmo quando o dano técnico é limitado.
É essa última peça que torna o cenário atual especialmente relevante para quem trabalha com comunicação digital.
O Irã e o manual da desinformação
John Hultquist, analista-chefe do Google Threat Intelligence Group, resumiu o problema: o Irã tem resultados mistos com ataques cibernéticos disruptivos e frequentemente fabrica e exagera seus efeitos. O objetivo não é causar dano técnico máximo. É causar dano psicológico máximo e fazer o outro lado acreditar que a capacidade ofensiva é muito maior do que é.
Para isso, o Irã mantém uma infraestrutura de influência bem estabelecida. O grupo Cotton Sandstorm (aka Haywire Kitten, afiliado ao IRGC) reativou sua persona hacktivista Altoufan Team após um ano de silêncio para reivindicar novos alvos no Bahrein sem evidências verificadas. Múltiplos grupos pró-Irã circulam afirmações de comprometimento de sistemas críticos em meia dúzia de países. A maioria dessas reivindicações não foi confirmada por analistas independentes.
JP Castellanos, diretor de inteligência de ameaças da Binary Defense, foi direto: “grande parte do que você verá é desinformação projetada para amplificar medo e incerteza, o que é em si parte do manual do Irã”. Em tempos de conflito, a capacidade de distinguir ataques reais de narrativas fabricadas se torna uma competência crítica — não apenas para analistas de segurança, mas para qualquer pessoa que navega pelo ecossistema de informação.
A infraestrutura como alvo
As quedas da AWS no Oriente Médio durante os bombardeios confirmam um cenário que analistas de infraestrutura digital vinham alertando: em conflitos geopolíticos, a nuvem não é neutra. Datacenters físicos existem em lugares específicos. Cabos submarinos passam por rotas específicas. Quando uma região entra em conflito, a infraestrutura digital que a serve — e que serve empresas em outros países que dependem dessas zonas — pode ser interrompida.
Isso adiciona um vetor que vai além de falhas técnicas: é sabotagem deliberada, com seleção de alvos baseada em origem geopolítica dos fornecedores. Em 2023, o CyberAv3ngers escolheu seus alvos não pela vulnerabilidade técnica, mas porque os equipamentos eram fabricados em Israel. A origem de um produto se torna um critério de alvo em uma guerra cibernética. Isso redefine o que significa risco de supply chain para qualquer empresa que depende de tecnologia com origem em países envolvidos em conflitos.
O que as organizações precisam entender agora
Os analistas ouvidos pelo The Register convergem em algumas recomendações práticas. Manter todos os sistemas críticos com bloqueios de segurança atualizados, o que parece óbvio, mas consistentemente não acontece.
Reforçar a conscientização de segurança com as equipes, especialmente em relação a phishing, que é o vetor de entregas disfarçadas de atualizações urgentes de software. E revisar a cadeia de fornecedores de tecnologia, empresas com conexões a Israel, contratantes de defesa e operadores de infraestrutura crítica estão em alerta elevado.
Mas há uma dimensão que as análises de segurança raramente capturam com clareza: a guerra de informação que acompanha esses ataques é tão consequente quanto os próprios ataques. Tomar decisões empresariais ou operacionais com base em reivindicações não verificadas nas redes sociais é uma forma de ser atingido sem precisar de malware.
Diversos palcos para uma mesma tragédia
A ciberguerra do Irã já começou, mas ela nunca foi apenas sobre técnica. É sobre percepção, medo, incerteza. É sobre a capacidade de fazer parecer que o dano é maior do que é, e de usar o próprio ecossistema de informação do adversário como arma.
