Retaliação cibernética do Irão é um problema para as empresas dos EUA — 'Está nas mãos de um hacker de 19 anos numa sala do Telegram', diz ex-operativo da NSA

À medida que as greves atingiram Teerã na manhã de sábado, milhões de iranianos receberam uma notificação estranha no telemóvel. O aplicativo de oração do calendário BadeSaba, que tem mais de 5 milhões de downloads, foi comprometido, e o aplicativo emitiu alertas dizendo, “A ajuda chegou!” e convocou um “Exército Popular” para defender os seus “irmãos iranianos”, de acordo com uma avaliação da empresa de inteligência cibernética Flashpoint. No domingo, o aplicativo enviou instruções de rendição para membros de base da Guarda Revolucionária Islâmica e locais seguros para os manifestantes se reunirem.

Vídeo Recomendado

Depois, os leais ao regime rapidamente contra-atacaram.

De acordo com a Flashpoint, o que se seguiu no domingo foi a utilização mais “agressiva” até então do que é conhecido como a campanha cibernética “Grande Épico” do Irã, que é um grupo de operativos cibernéticos coordenados de forma vaga, sob um canal chamado “Resistência Islâmica Cibernética”. Sob o guarda-chuva do grupo, vários atacantes cibernéticos já fecharam postos de gasolina na Jordânia e lideraram ataques contra fornecedores militares dos EUA e de Israel para destruir dados, além de realizar operações psicológicas imitando o hack do BadeSaba.

As próximas 48 horas provavelmente serão um período de “extrema volatilidade”, onde hacktivistas e proxies “assumirão a liderança na escalada para preencher o vazio deixado pelo comando central de Teerã”, observou a Flashpoint numa atualização. Acredita-se que esses atores estejam usando o Telegram e o Reddit como centros de coordenação, postando capturas de tela de ataques alegados como prova, embora leve semanas e às vezes meses para verificar a precisão, disse Kathryn Raines, ex-especialista da NSA que agora lidera a equipe de inteligência de ameaças na Flashpoint.

O hack do BadeSaba demonstra o modelo que os grupos proxy iranianos podem agora tentar implementar de forma reversa contra empresas ocidentais e outros. Além disso, com a liderança iraniana efetivamente dizimada pelos ataques de sábado, a estrutura de comando que supervisionava as operações cibernéticas de Teerã está basicamente extinta, afirmou Raines.

“O vazio de liderança no Irã provavelmente levará a ataques proxy mais imprevisíveis e descentralizados”, disse ela à Fortune.

Na prática, isso significa que hacktivistas alinhados e grupos proxy estão tomando suas próprias decisões de alvo, sem aprovação das autoridades centrais. Portanto, se um grupo altamente agressivo decidir atacar uma empresa de logística de médio porte para fazer uma declaração, o risco se estende além de Teerã, Washington, D.C., ou Nova York, explicou Raines.

“Está nas mãos de um hacker de 19 anos numa sala do Telegram, sem muita supervisão ou orientação”, alertou ela.

Assim, os líderes empresariais dos EUA precisam estar preparados para uma continuidade de incertezas, disse Brian Carbaugh, cofundador e CEO da empresa de segurança baseada em IA Andesite e ex-diretor do Centro de Atividades Especiais (SAC) da CIA. Os iranianos têm mostrado consistentemente ao longo dos anos que são incrivelmente resilientes enquanto governo e força de resistência. E, dado que o regime está bombardeando os seus vizinhos, as pessoas devem esperar que o Irã continue a liberar suas formidáveis capacidades ofensivas cibernéticas, além de outros aspectos do poder nacional, como mísseis e proxies armados ao redor do mundo, afirmou.

“Resistência agressiva e criativa faz parte do ethos do aparato de segurança iraniano e de toda a República Islâmica do Irã”, disse Carbaugh, que anteriormente foi chefe de gabinete de dois diretores da CIA. “Para os líderes empresariais e aqueles que protegem negócios e tomam decisões em alto nível, é preciso estar preparado para que isso continue por algum tempo e que o conflito possa seguir vários cursos diferentes, desviando-se pelo caminho.”

À medida que ataques dos EUA e de Israel degradam as capacidades militares convencionais do Irã, ataques cibernéticos parecem mais atraentes, afirmou Carbaugh. São de baixo custo de implantação, difíceis de atribuir e extremamente capazes de criar uma disrupção psicológica e operacional desproporcional ao investimento necessário. O Irã demonstrou ser capaz de emular e aprimorar métodos de ataque cibernético inicialmente mostrados pela Rússia, por exemplo.

“O Estado Islâmico sempre teve grande orgulho nas capacidades cibernéticas dentro dos serviços de segurança”, disse Carbaugh. Esse orgulho provavelmente não evaporará com a perda de lideranças seniores e pode até se intensificar à medida que outras opções se tornam mais escassas.

De acordo com Raines, a maioria dos planos de segurança corporativa não está preparada para ataques como o do BadeSaba, que enviou uma notificação a potencialmente milhões de muçulmanos no Irã que usam o aplicativo para acompanhar horários religiosos diários, exatamente no momento em que as greves começavam.

“As empresas realmente não estão preparadas para o que chamarei de operações psicológicas niilistas, que visam realmente afetar o estado mental e a confiança de sua força de trabalho”, explicou ela, contrastando-as com ataques destinados a roubar dados e desativar sistemas.

Isso pode se manifestar em empresas assim: funcionários na região do Golfo começam a receber mensagens que parecem urgentes, talvez áudios deepfake atribuídos ao seu líder regional ou CEO, ou comunicações supostamente da empresa sobre evacuações. Mas, com as notícias locais offline e o serviço de internet escasso, as pessoas terão muito pouca capacidade de verificar a veracidade de qualquer coisa.

Poucas empresas têm planos para o que será a realidade dos funcionários nas horas seguintes, enquanto a modelagem de risco muitas vezes se baseia no comportamento estatal e em “linhas vermelhas” assumidas que evitam uma guerra total, observou Raines.

Para os conselhos de administração e executivos que se reunirão nesta semana, as principais questões para os líderes de segurança terão que ver com o tempo máximo que as funções empresariais podem ficar offline antes de afetar receita e reputação, previu ela.

“Estamos menos interessados na taxa de bloqueio, e mais na recuperação do tempo”, afirmou Raines.

Carbaugh disse que, se estivesse numa ligação de conselho esta semana, gostaria de saber se a empresa está em um nível elevado de risco com base no que está acontecendo no Irã. Se a resposta for sim, ele quer saber o que está sendo feito para mitigar. Se a resposta for não, ele fará ainda mais perguntas.

Os líderes devem descobrir quais medidas foram tomadas para garantir que as empresas não estejam em risco, entender como as empresas têm colaborado com parceiros e outros para identificar ataques, e como a IA está sendo usada atualmente nesse processo, afirmou Carbaugh.

Ele reiterou que esta não é uma crise com resolução a curto prazo, e que ela se traduz em riscos cibernéticos que não desaparecerão imediatamente.

“Este conflito pode tomar muitas reviravoltas e seguir várias direções”, disse Carbaugh. “Não acho que será algo que vamos resolver de forma rápida e simples em poucos dias. Vai exigir vigilância constante e proteção das nossas redes cibernéticas, segurança física e todos os outros ativos.”

Participe conosco na Cúpula de Inovação no Local de Trabalho Fortune **de 19 a 20 de maio de 2026, em Atlanta. A próxima era de inovação no local de trabalho já começou — e o manual antigo está sendo reescrito. Neste evento exclusivo e de alta energia, os líderes mais inovadores do mundo se reunirão para explorar como IA, humanidade e estratégia convergem para redefinir, mais uma vez, o futuro do trabalho. Inscreva-se agora.