A expansão internacional do grupo de cibercriminosos conhecido como Scattered Spider acendeu um sinal de alerta entre empresas latino-americanas. Especialistas em segurança apontam que, embora não haja registros confirmados de ataques desse grupo no Brasil ou vizinhos até o momento, seu alcance global e métodos sofisticados representam um risco iminente para organizações na região.

Com táticas de engenharia social elaboradas e capacidade de driblar defesas tradicionais, o Scattered Spider tem mirado grandes empresas em diversos países. “A questão não é mais ‘se’ seremos atacados, mas de ‘quando’ e ‘como’, afirma Felipe Guimarães, Chief Information Security Officer da Solo Iron. “As táticas empregadas pelo grupo exploram fragilidades universais, presentes em empresas em todo o mundo – o que inclui as empresas latino-americanas”, pondera o especialista.

Um dos maiores riscos é que os setores visados pelo Scattered Spider no exterior também são pilares econômicos na América Latina. O grupo historicamente focou suas ações em empresas de telecomunicações, terceirização de processos de negócios (BPO) e grandes empresas de tecnologia – indústrias que possuem ampla presença na região. Nos últimos tempos, foi observado um aumento de interesse do grupo pelo setor financeiro global, o que inclui bancos e instituições presentes no Brasil e países vizinhos.

“Isso significa que companhias latino-americanas, seja diretamente ou através de filiais e parceiras, podem entrar na mira à medida que o Scattered Spider amplia seu raio de atuação. Mesmo empresas que não operam internacionalmente devem se precaver, pois os criminosos podem enxergar organizações locais como pontes de entrada para fornecedores ou clientes globais, ou simplesmente como alvos lucrativos por si sós, caso identifiquem falhas de segurança exploráveis”, pontua Guimarães.

Na mira das agências de inteligência

Relatórios do FBI e da Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA descrevem o Scattered Spider como “especialista em engenharia social”, empregando diversas técnicas para roubar credenciais e burlar autenticações.

Entre os métodos documentados estão phishing por e-mail e SMS (smishing), ataques de vishing (ligações telefônicas fraudulentas) em que os criminosos se passam por equipe de TI da própria empresa, e até esquemas elaborados de SIM swap – quando convencem operadoras de telefonia a transferir o número de celular de uma vítima para um chip sob controle deles. Essas táticas permitem interceptar códigos de autenticação multifator (MFA) enviados via SMS ou aplicativos, dando aos invasores as chaves para acessar sistemas internos.

Alguns incidentes recentes no cenário latino-americano já envolveram vetores parecidos, como uso de ferramentas legítimas em ataques e exploração de credenciais vazadas, o que reforça a necessidade de vigilância. Em 2024, por exemplo, houve casos de gangues de ransomware operando na região que abusaram de softwares legítimos e brechas em procedimentos internos de empresas, aplicando práticas muito similares ao do Scattered Spider.

Estratégias de mitigação

Diante da crescente ameaça representada por grupos como o Scattered Spider, Guimarães recomenda a adoção de estratégias com foco especial em fortalecer métodos avançados de autenticação multifator (MFA), preferencialmente resistentes a phishing, como chaves físicas de segurança ou soluções baseadas em certificados digitais. Técnicas como MFA com validação numérica e a restrição do uso de SMS para autenticação são essenciais para reduzir o risco de engenharia social e ataques por fadiga de notificações, muito usados pelo grupo.

Além disso, a adoção de uma abordagem mais robusta em relação à gestão de identidades e acessos (IAM) é uma estratégia muito importante na contenção desse tipo de ameaça. “As identidades digitais estão se tornando uma nova superfície de ataque; por isso, é fundamental que as empresas implementem políticas rígidas de gestão de identidades, controle granular de acessos e monitoramento contínuo das atividades dos usuários”, destaca.

“Também é muito importante o controle rigoroso sobre ferramentas de acesso remoto e a implantação de monitoramento avançado. É recomendável que as organizações restrinjam o uso dessas ferramentas por meio de listas autorizadas e adotem sistemas robustos como EDR e DLP para identificar rapidamente atividades suspeitas”, finaliza o especialista.

Pesquisadores do Netskope Threat Labs descobriram uma nova versão do malware XWorm circulando em ataques ativos, com funcionalidades inéditas que dificultam a detecção e aumentam a persistência nos sistemas infectados. O XWorm 6.0 é capaz de burlar ferramentas de segurança, se proteger contra remoção e se manter ativo mesmo após um desligamento forçado.

O XWorm se espalha por meio de scripts disfarçados em mensagens ou arquivos aparentemente legítimos, baixando um código malicioso que se executa inteiramente na memória, sem deixar rastros visíveis. A nova versão ainda bloqueia a ação do antivírus, modificando a memória do sistema para escapar de escaneamentos automáticos.

Outro destaque é que se o XWorm 6.0 for executado com privilégios de administrador, ele automaticamente se sinaliza como um “processo crítico”, o que impede sua finalização mesmo por administradores. Se for finalizado à força, o sistema irá travar e exigir a reinicialização, e neste momento o malware se ativa novamente.

A análise da Netskope mostra que essa nova versão também identifica se está sendo executada em ambientes de análise ou simulação, e se encerra automaticamente para evitar a detecção por especialistas de segurança.

Mais informações com detalhes técnicos desta descoberta estão disponíveis no blog da Netskope.

Em um dos painéis mais aguardados do Cyber Security Summit 2025, o especialista Yuri Diógenes, PhD em Cybersecurity, professor da Universidade do Texas em Dallas e líder global de ciberdefesa na Microsoft, encerrou o evento com uma palestra contundente sobre o novo cenário dos conflitos internacionais. Sob o tema “Quando as Fronteiras Ficam Nebulosas: Ciberataques de Estados-Nação em Conflitos Modernos”, o especialista mostrou como o ciberespaço se consolidou como o quinto domínio da guerra moderna — ao lado da terra, do ar, do mar e do espaço — e advertiu que empresas e governos já estão sendo afetados diretamente por esse tipo de ataque.

“Quando há um embate entre Estados, o primeiro ataque não é mais militar, é cibernético. Ele vem em forma de campanhas de desinformação, ataques distribuídos e sabotagem digital. O ciberespaço se tornou a nova linha de frente dos conflitos modernos”, afirmou Diógenes.

Segundo levantamento da Microsoft apresentado durante a palestra, uma em cada três infraestruturas críticas no mundo já foi alvo de ataques conduzidos por grupos vinculados a Estados-nação. Desde 2020, o número desses incidentes cresceu mais de 200%, impulsionado por tensões políticas e disputas regionais. O especialista destacou que o Brasil também pode sofrer efeitos colaterais de ofensivas direcionadas a outros países, especialmente em cadeias globais de suprimento.

Ao apresentar exemplos da guerra Rússia-Ucrânia e de ataques recentes no Oriente Médio, Diógenes mostrou que os ataques digitais tornaram-se o primeiro passo das ofensivas militares. “Antes de tanques cruzarem fronteiras, já vemos ofensivas cibernéticas contra infraestruturas críticas e sistemas de defesa. É um playbook de guerra que combina poder cibernético e força cinética”, explicou.

Ele lembrou ainda que setores privados também são alvos frequentes, mesmo fora das zonas de conflito. “Quando um provedor de soluções é comprometido, todas as organizações que confiam naquela cadeia são vítimas em potencial. A infiltração em um elo estratégico pode causar efeitos em cascata na economia global”, destacou.

IA e desinformação: a nova face dos ataques

O pesquisador também alertou para o uso crescente da inteligência artificial (IA) em campanhas de desinformação e manipulação social. De acordo com ele, entre janeiro de 2024 e outubro de 2025 houve um crescimento exponencial de ataques que utilizam IA em alguma etapa da operação. “A IA vem sendo usada para criar desinformação em massa, explorando fontes que parecem confiáveis, veículos de comunicação, personalidades e até familiares. O resultado é um caos informacional difícil de conter”, afirmou.

Entre os exemplos citados, estão deepfakes hiper-realistas, clonagem de vozes e manipulação de vídeos e áudios para fraudes e disseminação de fake news. “O cidadão comum não tem ferramentas para diferenciar o real do falso. Isso aumenta a vulnerabilidade social e política das democracias”, alertou.

Ao encerrar sua apresentação, Diógenes reforçou que o risco cibernético é, hoje, uma extensão do risco geopolítico e da competitividade nacional, exigindo uma mudança na postura das lideranças empresariais. “Gerenciar risco cibernético é gerenciar a competitividade nacional. O que acontece na Europa ou no Oriente Médio pode afetar diretamente o mercado brasileiro. As empresas precisam estar preparadas para impactos indiretos e colaterais”, afirmou.

Para o especialista, o caminho passa por três pilares: visibilidade, colaboração e mentalidade estratégica. “Segurança não pode ser apenas um tema operacional. Precisa estar na mesa de decisão executiva. Quando os conflitos se espalham para o ciberespaço, a preparação define a resiliência”, concluiu.​

A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses.

Alvos: Especialistas e Acadêmicos de Prestígio

De acordo com a investigação, o Educated Manticore concentrou esforços em atacar profissionais de alto nível, incluindo professores de ciência da computação de universidades renomadas de Israel, pesquisadores de cibersegurança e jornalistas. As ações, sofisticadas e cuidadosamente planejadas, fazem parte de uma ofensiva de espionagem digital que visa obter acesso indevido a contas de e-mail e outros serviços críticos.

Os invasores se passam por pesquisadores, executivos ou analistas de empresas de cibersegurança fictícias, estabelecendo contato inicial por e-mail ou até mesmo por mensagens no WhatsApp. Com uma comunicação polida, bem estruturada e aparentemente legítima — muitas vezes auxiliada por inteligência artificial —, os criminosos buscam conquistar a confiança das vítimas e direcioná-las para links maliciosos.

Phishing Personalizado e Engenharia Social Avançada

Uma vez estabelecido o contato, os alvos são conduzidos para falsas páginas de login do Gmail, Outlook ou Yahoo, desenvolvidas com tecnologia moderna baseada em Single Page Applications (SPA) usando React. Essas páginas simulam com precisão o fluxo de autenticação de grandes provedores de e-mail, incluindo etapas de autenticação multifator (2FA), captura de senhas e códigos de verificação.

Além disso, o kit de phishing desenvolvido pelo grupo conta com keyloggers ocultos, capazes de registrar todas as teclas digitadas, mesmo que o usuário não finalize o processo. As informações são transmitidas em tempo real para os servidores dos atacantes, potencializando o roubo de credenciais e comprometendo ainda mais as contas das vítimas.

Um aspecto que chamou atenção dos analistas foi o uso de convites falsos do Google Meet, hospedados no próprio serviço Google Sites, o que dá uma aparência ainda mais legítima às páginas maliciosas. Ao clicarem nas imagens desses convites, as vítimas são redirecionadas a sites sob o controle dos atacantes.

Infraestrutura Robusta e Expansão da Campanha

A infraestrutura da Educated Manticore é ampla e bem estruturada. Desde janeiro de 2025, o grupo registrou mais de 130 domínios diferentes — muitos relacionados a temas como tecnologia, comunicação e educação —, utilizados para hospedar as páginas de phishing e gerenciar as operações clandestinas. A maioria desses domínios foi registrada através do provedor NameCheap.

Os especialistas também identificaram uma sobreposição significativa com outra célula de operações, conhecida como GreenCharlie, o que sugere uma possível ramificação ou subgrupo da Educated Manticore atuando de forma coordenada.

Entre os domínios maliciosos monitorados estão sendly-ink[.]shop, idea-home[.]online, live-meet[.]info, bestshopu[.]online, entre muitos outros. Além disso, diversos endereços IP associados à operação foram mapeados, fortalecendo as evidências de uma infraestrutura técnica bem organizada.

Ameaça Persistente e Alerta Global

Apesar da crescente exposição e dos esforços da comunidade de segurança cibernética, o Educated Manticore segue atuando com rapidez e agressividade, demonstrando grande capacidade de adaptação e evasão. A campanha atual, ao explorar o contexto geopolítico e acadêmico, representa uma ameaça grave à integridade das instituições israelenses e ao ecossistema global de cibersegurança.

“Esses ataques evidenciam como o ciberespaço se tornou um dos principais campos de batalha no atual conflito Irã-Israel”, alertam os pesquisadores da Check Point. A expectativa é de que o grupo continue investindo em táticas de roubo de identidade e coleta de informações, principalmente de indivíduos envolvidos em ambientes acadêmicos, científicos e tecnológicos estratégicos.

Indicadores de Comprometimento (IOCs)

A Check Point Research divulgou uma lista de domínios e endereços IP associados à infraestrutura maliciosa do Educated Manticore. Profissionais e empresas de tecnologia são fortemente aconselhados a implementar medidas de monitoramento e bloqueio desses indicadores em suas redes.

Entre os principais IOCs identificados estão:

Endereços IP:

• 185.130.226[.]71

• 45.12.2[.]158

• 45.143.166[.]230

• 91.222.173[.]141

• 194.11.226[.]9

Domínios Notórios:

• sendly-ink[.]shop

• idea-home[.]online

• live-meet[.]info

• bestshopu[.]online

• live-message[.]online

A lista completa de domínios e IPs está disponível no relatório técnico da Check Point.

Conclusão

O caso do Educated Manticore reforça o papel crítico da cibersegurança no cenário geopolítico atual. A sofisticação técnica, combinada a uma estratégia agressiva de engenharia social, demonstra que grupos apoiados por Estados seguem explorando vulnerabilidades humanas e tecnológicas para alcançar seus objetivos de espionagem.

Especialistas recomendam vigilância redobrada, treinamentos contínuos de conscientização e o uso de autenticação forte e verificada, especialmente entre profissionais que atuam em áreas sensíveis de tecnologia e pesquisa.

Um ataque cibernético supostamente realizado pelo grupo “Lip Stitchers” comprometeu a rede de comunicação de 116 navios pertencentes à República Islâmica do Irã, segundo informações exclusivas obtidas pela Iran International. As embarcações afetadas estariam ligadas às empresas estatais National Iranian Tanker Company (NITC) e Islamic Republic of Iran Shipping Company (IRISL) — ambas sancionadas por Estados Unidos, Reino Unido e União Europeia por seu envolvimento em operações logísticas estratégicas e, segundo acusações, apoio a grupos como os houthis no Iêmen.

O grupo hacker declarou que sua ofensiva teve como objetivo “cegar o regime iraniano em um momento crítico de ataques militares americanos contra posições houthis”. Segundo o comunicado, 50 navios da NITC e 66 da IRISL foram isolados, perdendo a capacidade de se comunicar com portos, outras embarcações e centros de comando em terra. Ainda de acordo com os hackers, o restabelecimento total dessas redes pode levar semanas, forçando as embarcações a recorrerem a meios limitados e alternativos de comunicação.

O ataque coincide com o sexto aniversário de atuação do Lip Stitchers, marcado pela inauguração de uma nova página no Telegram. O grupo — já conhecido por revelar dados sobre a Guarda Revolucionária Iraniana e sua unidade cibernética — afirma ter apoio de insiders dentro do próprio governo iraniano.

Cegueira Tática no Mar

Ao comprometer a conectividade de 50 navios da National Iranian Tanker Company (NITC) e 66 da Islamic Republic of Iran Shipping Line (IRISL), o grupo Lip Stitchers impôs um blackout operacional em plena zona cinzenta das tensões no Oriente Médio. A ausência de conectividade em embarcações comerciais e militares modernas não representa apenas a perda de comunicação, mas um colapso da visibilidade tática e da sincronização logística.

Em ambientes marítimos, a comunicação satelital via VSAT, AIS, rádio VHF/HF e canais criptografados é vital não só para a navegação e coordenação, mas para o mascaramento de operações clandestinas, como o transporte de armas para os houthis no Iêmen, como denunciado. Ao isolar os navios, os atacantes não apenas desorganizam o fluxo de exportações de petróleo iraniano, mas também interrompem potenciais corredores de suprimento para grupos aliados do regime.

Sistemas de comunicação sob ataque

Apesar da escassez de informações públicas detalhadas sobre a arquitetura das redes de comunicação dos navios iranianos, sabe-se que as embarcações da NITC e da IRISL operam com um complexo sistema híbrido, que combina:

1. Comunicações via satélite (VSAT): tecnologia fundamental para navegação e troca de dados em alto-mar, especialmente em missões estratégicas. Acredita-se que o Irã use satélites nacionais e parcerias com países como Rússia e China para blindar comunicações críticas.
2. Radiocomunicações VHF e HF: ainda amplamente utilizadas para comunicação de curta distância, especialmente entre navios e portos próximos nas rotas do Golfo Pérsico, Mar Mediterrâneo e Sudeste Asiático.
3. Redes criptográficas militares: presentes em embarcações controladas pela Guarda Revolucionária (IRGC) e em petroleiros envolvidos em missões sensíveis, como evasão de sanções ou transporte de armamentos. Essas redes são projetadas para resistir a interceptações e ataques, mas também têm sido alvo de ciberataques sofisticados.

Comunicações como Alvo Estratégico

A NITC, com seus mais de 46 superpetroleiros e capacidade superior a 15 milhões de toneladas, opera como artéria principal das exportações iranianas. Esses navios frequentemente desligam seus sistemas de rastreamento AIS para driblar sanções internacionais e ocultar rotas em águas internacionais como tática para burlar sanções e dificultar a vigilância internacional, o que torna suas comunicações criptografadas e satelitais ainda mais críticas. Ao cortar esse elo, o grupo expõe a fragilidade de uma estrutura de comando e controle marítimo que depende de uma mescla de soluções legadas, tecnologias de parceiros como Rússia e China, e sistemas proprietários potencialmente inseguros.

A vulnerabilidade dessas redes – acentuada por restrições tecnológicas impostas por sanções e pela presença de hardware não auditado – faz delas alvos altamente viáveis para grupos sofisticados com conhecimento interno, como sugerido pelo Lip Stitchers.

A National Iranian Tanker Company comanda a maior frota de petroleiros do Oriente Médio, composta por mais de 46 navios-tanque com capacidade combinada superior a 15 milhões de toneladas. Essas embarcações são peças-chave na logística de exportação do petróleo iraniano — uma das principais fontes de receita do regime.

Guerra Cibernética Não-Estatal

O que torna essa operação emblemática é sua natureza transnacional, com motivação ideológica e possível colaboração interna, como afirmou o grupo em seu canal no Telegram. Não se trata apenas de um ato de protesto digital, mas de uma operação com timing geopolítico calculado: ocorreu durante ataques americanos contra posições houthis, potencializando seu efeito estratégico e midiático.

O impacto é amplificado pelo fato de que, no ciberespaço, atores não-estatais podem atingir Estados-nação com uma eficácia antes exclusiva das grandes potências. E no caso do Irã, que já enfrentava pressão econômica e militar, o colapso parcial de sua frota de transporte energético representa um enfraquecimento sensível de sua capacidade de projeção regional.

Vulnerabilidades e sanções

As crescentes sanções internacionais têm restringido o acesso do Irã a tecnologias de ponta, limitando atualizações críticas em suas redes navais e sistemas de comunicação. Após episódios de comprometimento de comunicações do Hezbollah em 2024, o próprio IRGC iniciou inspeções de segurança nos equipamentos utilizados por embarcações civis e militares.

A recente ofensiva do grupo Lip Stitchers indica que, apesar das medidas defensivas do regime, vulnerabilidades persistem — especialmente na camada cibernética que sustenta a capacidade logística naval iraniana. Com os navios afetados temporariamente isolados e operando sob risco elevado, o episódio acende um alerta sobre o crescente papel da guerra cibernética nas disputas geopolíticas do Oriente Médio.

Considerações

O ataque do Lip Stitchers é um alerta global. Ele demonstra que, na era da conectividade ubíqua, a superfície de ataque se estende até os mares. A maritimização do ciberconflito amplia o domínio de operações para além de redes terrestres e satélites, introduzindo um novo tipo de guerra naval silenciosa: não feita com torpedos, mas com pacotes de dados.

Para estrategistas e decisores, este episódio reforça a urgência de:

• Modernizar redes de comunicação embarcadas com foco em resiliência e segmentação;

• Implementar Zero Trust Marítimo, com autenticação e monitoramento contínuos;

• Investir em inteligência cibernética naval preventiva, integrando informações de threat hunting com geopolítica;

• Avaliar continuamente a cadeia de suprimentos cibernética dos sistemas embarcados, inclusive nos componentes adquiridos de parceiros estatais.

O mar, outrora refúgio para operações clandestinas, agora é palco de uma nova corrida armamentista digital. E quem controlar os dados das águas, controlará o destino das nações que por elas navegam.