Irã usou ataques de senha para espionar Israel após bombardeios

O Irã usou ataques de senha para espionar Israel após bombardeios ocorridos em março de 2026. A Check Point Research identificou uma campanha coordenada de password spraying contra ambientes do Microsoft 365.

Além disso, os ataques ocorreram em três ondas distintas, nos dias 3, 13 e 23 de março de 2026. A ofensiva atingiu mais de 300 organizações em Israel e ao menos 25 nos Emirados Árabes Unidos.

Enquanto isso, a mesma atividade também alcançou alvos pontuais na Europa, nos Estados Unidos, no Reino Unido e na Arábia Saudita. O padrão indica uma operação distribuída e planejada.

Da ciberespionagem ao campo de batalha

O que diferencia essa campanha de ataques comuns é o perfil dos alvos. A Check Point Research constatou que o setor municipal israelense concentrou o maior número de tentativas por organização.

Além disso, municípios exercem funções críticas, como registrar e responder a danos causados por ataques com mísseis. Esse fator aumentou o valor estratégico dessas entidades para a campanha.

A análise também identificou uma correlação direta entre as cidades atacadas digitalmente e as localidades atingidas por mísseis iranianos no mesmo período. Portanto, os pesquisadores avaliam que a operação apoiou atividades de Bombing Damage Assessment.

Com isso, os atacantes puderam acessar e-mails institucionais para medir o impacto real dos bombardeios. Além dos municípios, a campanha também mirou órgãos governamentais, empresas de energia e companhias dos setores aéreo, marítimo e de satélites.

Como funcionam os ataques de password spraying

O password spraying é uma técnica que testa poucas senhas fracas em muitas contas diferentes. Dessa forma, os atacantes evitam os bloqueios automáticos comuns em ataques de força bruta tradicionais.

Na fase inicial, o grupo disparou tentativas de autenticação a partir de nós da rede Tor, com rotação frequente de endereços. Em seguida, os atacantes mascararam as requisições usando um User-Agent que imitava o Internet Explorer 10.

Ao identificar credenciais válidas, o grupo realizou logins completos por meio de VPNs comerciais com geolocalização em Israel. Entre elas estavam serviços como Windscribe e NordVPN.

Portanto, essa estratégia permitiu contornar políticas de acesso condicional baseadas em localização. Na fase final, os invasores exploraram o acesso legítimo para ler e-mails e extrair dados sensíveis.

Atribuição ao Irã

A Check Point Research atribui a campanha, com confiança moderada, a um ator ligado ao Irã. A conclusão considera o perfil dos alvos, a análise de logs do Microsoft 365 e similaridades com operações anteriores.

Além disso, o grupo apresenta semelhanças operacionais com o coletivo Gray Sandstorm. Esse ator costuma usar ferramentas de red team e a rede Tor para obter acesso inicial.

O uso de infraestrutura comercial associada ao sistema autônomo AS35758 também reforça a atribuição. Esse padrão já apareceu em outras operações iranianas no Oriente Médio.

Como se proteger

A Check Point Research recomenda monitorar logs de autenticação para identificar padrões típicos de password spraying. Isso inclui falhas repetidas de login em contas diferentes em curtos intervalos.

Além disso, práticas de higiene de credenciais reduzem riscos, especialmente com atualizações regulares de senhas. O bloqueio de nós Tor e o uso de políticas de acesso condicional também diminuem a superfície de ataque.

No entanto, a medida mais eficaz continua sendo a implementação de autenticação multifator em todo o tenant. Mesmo que uma senha seja comprometida, o segundo fator impede o acesso.

Por fim, a manutenção de logs de auditoria com retenção adequada permite investigar incidentes e responder rapidamente a qualquer comprometimento.