Num contexto internacional marcado por crescente instabilidade geopolítica, o domínio digital emerge como uma das principais frentes de confronto indireto entre Estados. À medida que aumentam as tensões no Médio Oriente, intensificam-se os ciberataques iranianos, sinalizando uma nova fase de projeção de poder através de operações tecnológicas com potenciais repercussões muito para além da região.
A Check Point Software Technologies alerta para um aumento significativo da atividade digital ligada ao ecossistema estatal iraniano. De acordo com a mais recente análise da sua unidade de investigação, a Check Point Research, vários grupos alinhados com estruturas oficiais de Teerão estão a reforçar operações de espionagem, sabotagem e influência estratégica. Neste enquadramento, os ciberataques iranianos assumem uma dimensão mais ampla, combinando pressão militar, política e tecnológica.
A investigação identifica clusters associados ao Islamic Revolutionary Guard Corps (IRGC) e ao Ministry of Intelligence and Security (MOIS), bem como operadores que atuam sob identidades hacktivistas ou com mecanismos de negação plausível. Estes atores recorrem a campanhas de spear phishing altamente direcionadas, ataques de negação de serviço distribuída (DDoS), pseudo-ransomware e wipers destrutivos, além de operações de desinformação que amplificam fugas de dados através de redes sociais.
Entre os grupos monitorizados destaca-se o Cotton Sandstorm, associado ao IRGC, conhecido por campanhas de reação rápida a eventos regionais. A sua atuação combina desfiguração de websites, roubo de dados e estratégias de “hack and leak” destinadas a maximizar impacto mediático. Já o cluster Educated Manticore aposta em engenharia social dirigida a jornalistas, académicos e decisores, simulando plataformas de comunicação para captura de credenciais e tokens de sessão.
O grupo MuddyWater, tradicionalmente ligado ao MOIS, mantém foco em espionagem contra governos e setores estratégicos, utilizando ferramentas legítimas de gestão remota e técnicas “living off the land” para garantir persistência e movimento lateral. Sob a designação hacktivista Handala, o ator Void Manticore privilegia operações de pressão reputacional através da divulgação estratégica de dados roubados. Por sua vez, o grupo Agrius tem recorrido a operações destrutivas que simulam ransomware, mas cujo objetivo central é a sabotagem operacional.
A análise evidencia padrões técnicos comuns, como o recurso a VPN comerciais para ocultação de origem, exploração de ativos expostos à internet e reutilização de credenciais comprometidas. Num cenário de escalada prolongada, os ciberataques iranianos tendem a tornar-se mais oportunistas, explorando vulnerabilidades expostas e cadeias de fornecimento interligadas. A intensificação destes ciberataques, conduzidos por grupos iranianos, amplia a superfície de risco para organizações públicas e privadas.
Embora Portugal não surja como alvo prioritário, a crescente interdependência digital e a integração em cadeias internacionais de abastecimento expõem empresas nacionais a riscos indiretos. Infraestruturas críticas, setor energético, telecomunicações e entidades governamentais podem ser impactados por efeitos colaterais de campanhas dirigidas a países considerados adversários estratégicos.
Face a este cenário, a Check Point recomenda o reforço da monitorização de tráfego associado a nós de saída de VPN comerciais, auditoria de ativos expostos à internet — incluindo servidores web e equipamentos com credenciais por defeito —, implementação de autenticação multifator resistente a phishing e vigilância contínua de autenticações anómalas. A sensibilização interna para abordagens suspeitas, nomeadamente convites inesperados para entrevistas ou reuniões, surge igualmente como fator crítico de mitigação.
Através da Infinity Platform, a empresa disponibiliza uma abordagem integrada orientada por inteligência artificial para prevenção, deteção e resposta a ameaças avançadas em ambientes de rede, cloud e utilizador final. Num contexto geopolítico cada vez mais volátil, a capacidade de antecipar e mitigar ciberataques iranianos poderá revelar-se determinante para a resiliência digital das organizações portuguesas.
