A geopolítica do século XXI já não se desenrola apenas em fronteiras físicas, mas na infraestrutura de dados que sustenta as democracias ocidentais. Durante anos, Rússia e China foram considerados os “pesos pesados” da ameaça digital, mas o panorama mudou drasticamente.
Especialistas do Google Cloud’s Mandiant e do grupo de análise de ameaças do Google (TAG) afirmam que o Irã deixou de ser um ator reativo para se tornar um mestre da engenharia social e do ataque direcionado.
“São muito bons nesse espaço”, advertem os analistas. Esta declaração não é um elogio, mas um reconhecimento da periculosidade de um adversário que aprendeu a compensar suas limitações em hardware convencional com uma criatividade cirúrgica no ciberespionagem.
A anatomia do ataque iraniano: engenharia social e persistência
Diferentemente de outros grupos que realizam ataques massivos de phishing, as unidades de inteligência cibernética do Irã —frequentemente associadas à Guarda Revolucionária— utilizam táticas de “luva branca” que podem passar despercebidas por meses.
Os atacantes iranianos são especialistas em criar perfis falsos de acadêmicos, jornalistas ou especialistas em defesa em plataformas como LinkedIn. Investem meses para estabelecer uma relação de confiança com seus alvos antes de enviar um arquivo aparentemente inofensivo que contém uma porta dos fundos (backdoor).
Em 2026, o foco mudou para fornecedores de software de médio porte. Ao comprometer uma empresa que atende governos, conseguem uma “chave mestra” para acessar redes estatais sem acionar os grandes firewalls. O Irã começou a implementar ferramentas de IA para aprimorar a linguagem de seus e-mails de phishing, eliminando erros gramaticais que antes eram sinais de alerta para os sistemas de segurança.
O objetivo: sabotagem e inteligência crítica
O analista do Google destaca que o interesse do Irã não é o retorno econômico imediato (diferentemente dos grupos de ransomware norte-coreanos), mas o controle da narrativa e a capacidade de causar danos estruturais.
Foram detectadas tentativas de invasão em sistemas SCADA (controle industrial) em diversas regiões, buscando a capacidade de desconectar serviços essenciais em caso de um conflito bélico real.
A espionagem não para nas fronteiras do Irã. O grupo rastreia ativamente cidadãos iranianos no exterior, utilizando malware móvel para infectar seus smartphones e geolocalizar em tempo real.
Com o avanço das eleições digitais e a gestão de dados de eleitores, a capacidade do Irã de semear desinformação através da divulgação de dados reais (técnica de “hack-and-leak”) é uma das maiores preocupações para 2026.
A resposta do Google e o ecossistema de Ciberdefesa
A Google intensificou sua vigilância por meio de sua infraestrutura de IA defensiva. A nuvem do Google processa petabytes de dados de telemetria para identificar padrões de comportamento típicos dos grupos APT (Advanced Persistent Threats) iranianos.
“A chave não é esperar o ataque, mas caçar a ameaça”, indicam da equipe de segurança do Google. A implementação de Zero Trust (Confiança Zero) tornou-se obrigatória para qualquer organização que lide com dados sensíveis. Neste modelo, nenhum usuário ou dispositivo é confiável por padrão, mesmo que já estejam dentro da rede corporativa.
O desafio é que a segurança já não pode ser apenas software. Os processadores modernos estão integrando “enclaves seguros” (como o chip Titan M2 do Google ou os novos sistemas da Apple e Qualcomm) que protegem as chaves de criptografia no nível de silício. No entanto, o alerta do Google nos lembra que o elo mais fraco continua sendo o ser humano. Por mais poderosa que seja a criptografia, se um analista estatal for enganado para entregar sua senha por meio de engenharia social, a tecnologia se torna irrelevante.
A sofisticação do Irã neste campo é um lembrete de que a vigilância deve ser constante. No espaço digital de 2026, a invisibilidade é a melhor arma, e o Irã demonstrou ser um fantasma muito difícil de capturar.