Um grupo APT iraniano suspeito conduziu uma campanha massiva de password spraying contra contas Microsoft 365 de governos e organizações do setor privado em todo o Oriente Médio. A campanha, detectada por pesquisadores da Check Point, destacou-se por ter como alvo municípios israelenses e dos Emirados Árabes Unidos que foram posteriormente atingidos por ataques de drones e mísseis iranianos.
Correlação Temporal com Operações Cinéticas
A atividade começou no início de março, coincidindo com a reorganização das forças iranianas após ataques iniciais dos EUA e Israel que eliminaram líderes iranianos no final de fevereiro. Os pesquisadores observaram correlação direta entre os alvos da campanha de password spraying e cidades que foram atacadas por mísseis iranianos durante março, sugerindo que a campanha foi projetada para apoiar operações cinéticas e esforços de Avaliação de Danos por Bombardeio (BDA).
Municípios foram o principal alvo devido ao seu papel crítico na resposta a danos físicos relacionados a mísseis. A campanha também visou entidades do setor privado conectadas ao esforço de guerra, incluindo setores de satélite, aviação, energia e marítimo.
Atribuição ao Gray Sandstorm
A atividade de password spraying é atribuída ao grupo APT iraniano rastreado como Gray Sandstorm, que vem usando password spraying como vetor de acesso inicial desde 2021. A campanha ocorreu em três ondas ao longo de março e continua em andamento, com a maioria dos alvos sendo organizações israelenses, além de alguns no UAE, Arábia Saudita e Europa.
Contexto de Inteligência Militar
Esta operação representa um padrão típico de coleta de inteligência em conflitos modernos, semelhante às campanhas observadas entre Rússia e Ucrânia, onde grupos de hacking são empregados para avaliar danos de ataques cinéticos. A técnica de password spraying, embora comum, ganha dimensão estratégica quando integrada a operações militares convencionais.
“The activity primarily targeted municipalities, which play a critical role in responding to missile-related physical damage. Also, we observe some correlation between the targets of this campaign to cities that were targeted by missile attacks from Iran during March. This suggests the campaign was likely intended to support kinetic operations and Bombing Damage Assessment (BDA) efforts.”
Implicações de Segurança e Mitigação
A campanha destaca a necessidade crítica de implementar controles robustos de autenticação para contas Microsoft 365, especialmente para organizações governamentais e de infraestrutura crítica em regiões de conflito. Medidas essenciais incluem:
- Implementação obrigatória de MFA (Multi-Factor Authentication)
- Monitoramento contínuo de tentativas de login suspeitas
- Políticas de senha robustas com bloqueio de conta após múltiplas tentativas
- Segmentação de rede para sistemas críticos
A convergência entre operações cibernéticas e cinéticas representa uma evolução significativa na doutrina militar moderna, onde a inteligência cibernética se torna componente integral do ciclo de planejamento e execução de operações militares convencionais.
Análise baseada no Risky Bulletin de 01/04/2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário