A escalada dos conflitos no Oriente Médio em 2026 tem sido acompanhada por um aumento significativo das operações de espionagem cibernética conduzidas por grupos ligados ao Irã. É o que revela um novo relatório da Unit 42, divisão de inteligência de ameaças da Palo Alto Networks, que detalha as atividades do grupo conhecido como Screening Serpens também rastreado como Smoke Sandstorm, Iranian Dream Job e UNC1549.
Segundo a pesquisa, o grupo tem mantido campanhas de espionagem de alta intensidade contra alvos nos Estados Unidos, Israel, Emirados Árabes Unidos e outros países, mesmo diante de interrupções na infraestrutura de internet e em centros de comando na região. Entre os principais alvos estão engenheiros de software e profissionais de tecnologia, atraídos por falsas oportunidades de emprego criadas para iniciar cadeias de infecção de malware.
A estratégia adotada lembra técnicas frequentemente associadas a grupos norte-coreanos. Os criminosos se passam por empresas reconhecidas e plataformas de recrutamento para conquistar a confiança das vítimas e induzi-las a executar arquivos maliciosos por conta própria, tornando os ataques mais difíceis de identificar.
O relatório também destaca uma nova técnica de evasão chamada “sequestro de AppDomain”. Nesse método, os invasores manipulam a fase de inicialização de aplicações .NET para executar códigos maliciosos antes que ferramentas tradicionais de segurança estejam plenamente ativas. Com isso, conseguem driblar mecanismos de monitoramento, estabelecer persistência nos sistemas comprometidos e manter operações de exfiltração de dados de forma mais discreta.
Para Elad Koren, vice-presidente de gerenciamento de produtos da Palo Alto Networks, a sofisticação crescente desses grupos exige uma mudança na forma como as empresas encaram a proteção digital. Segundo o executivo, soluções tradicionais baseadas apenas em assinaturas já não são suficientes diante de ameaças que utilizam inteligência artificial e técnicas avançadas de evasão. Ele defende uma abordagem multicamadas focada na análise de comportamentos suspeitos, capaz de identificar ações anômalas como o sequestro de AppDomain ou a desativação de telemetria antes que os invasores consolidem o ataque. Nesse cenário, o monitoramento contínuo da lógica e do comportamento das aplicações torna-se essencial para uma defesa proativa.
