A Check Point Research (CPR) identificou uma campanha coordenada de password spraying contra ambientes Microsoft 365. Os ataques estão sendo conduzidos por um ator de ameaça vinculado ao Irã.
As investidas ocorreram em três ondas distintas, nos dias 3, 13 e 23 de março de 2026, e atingiram mais de 300 organizações em Israel e ao menos 25 nos Emirados Árabes Unidos. Atividade associada ao mesmo grupo também foi observada em alvos pontuais na Europa, nos Estados Unidos, no Reino Unido e na Arábia Saudita.
smart_display
Nossos vídeos em destaque
Da ciberespionagem ao campo de batalha
O que diferencia essa campanha de operações comuns é o perfil dos alvos. A Check Point constatou que o setor municipal israelense foi o principal foco, tanto em número de organizações afetadas quanto em volume de tentativas por organização.
A pesquisa aponta correlação direta entre as cidades-alvo da campanha digital e as localidades atingidas por mísseis iranianos em março. Municípios são responsáveis, entre outras funções, por registrar e responder a danos causados por ataques com mísseis.
A conclusão é que a operação provavelmente serviu como suporte a esforços de Bombing Damage Assessment (BDA), a etapa em que um agressor avalia o impacto real dos ataques cinéticos para orientar novas ações militares.
Com isso, o Irã pode ter usado o acesso a e-mails de prefeituras para medir o estrago causado pelos próprios mísseis. Além de municípios, foram visados órgãos governamentais, empresas do setor de energia, organizações das áreas de aviação, satélite e marítima, e companhias do setor privado.
)
Como o ataque funciona
O password spraying é uma variante das técnicas de força bruta que, em vez de testar muitas senhas em uma conta, o atacante escolhe um conjunto pequeno de senhas fracas e as testa em um grande número de contas diferentes. Isso porque, ataques de força bruta, como tentar várias senhas repetidamente, representam um comportamento facilmente detectado por sistemas de bloqueio.
A aposta é estatística, já que é muito provável que, em uma organização com centenas de usuários, alguém use a senha “Senha123”.
O ciclo de ataque identificado pela Check Point se dividiu em três fases. Na varredura inicial, os atacantes dispararam tentativas de autenticação a partir de nós de saída da rede Tor, rotacionados com frequência para dificultar o bloqueio por IP.
)
As requisições foram mascaradas com um User-Agent que imita o Internet Explorer 10, uma assinatura antiga. O intuito, provavelmente, foi tentar se misturar a tráfego legado ou confundir sistemas de análise comportamental.
Ao identificar credenciais válidas, o grupo executou o login completo a partir de endereços IP de VPNs comerciais geolocalizados em Israel. Especificamente faixas da Windscribe e da NordVPN.
A manobra visa contornar políticas de acesso condicional baseadas em geolocalização, implementada por muitas organizações para bloquear logins de regiões inesperadas. Na fase de exfiltração, o acesso legítimo foi explorado para ler conteúdo de e-mails e obter dados sensíveis.
)
Atribuição a ator iraniano
A CPR atribui a campanha com confiança moderada a um ator de origem iraniana. A avaliação se baseia na consistência do perfil de alvos com os interesses estratégicos do Irã, na análise dos logs do M365 e em semelhanças operacionais com o grupo Gray Sandstorm. Esse coletivo criminoso é conhecido por usar ferramentas de red team e a rede Tor para operações de acesso inicial.
O uso de infraestrutura comercial hospedada no sistema autônomo AS35758 (Rachamim Aviel Twito) também converge com atividades recentes ligadas a operações iranianas no Oriente Médio.
Como se proteger
A CPR recomenda que organizações que utilizam o Microsoft 365 adotem algumas medidas prioritárias. A primeira é monitorar os logs de autenticação para detectar padrões típicos de password spraying. O que inclui múltiplas falhas de login em contas distintas originadas do mesmo IP em um curto intervalo de tempo.
)
O bloqueio de nós Tor e a aplicação de restrições geográficas por meio de políticas de acesso condicional reduzem a superfície de ataque. Embora, como demonstrado pela campanha, atores sofisticados consigam contornar a geofencing com VPNs comerciais.
A implementação de MFA em todo o tenant, com controles reforçados para contas privilegiadas, é a medida de maior impacto individual. Mesmo que credenciais sejam comprometidas, o segundo fator impede a conclusão do login. Por fim, manter logs de auditoria habilitados e com retenção adequada é essencial para investigar qualquer comprometimento após o fato.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.