Uma campanha altamente sofisticada de hacking e phishing digital direcionada a usuários de WhatsApp e Gmail atingiu figuras de alto perfil no Oriente Médio e integrantes da diáspora iraniana. A ofensiva combina técnicas avançadas de engenharia social, sequestro de contas e possíveis ações de ciberespionagem, levantando alertas entre especialistas em segurança da informação.
O caso ganhou repercussão após o ativista iraniano radicado no Reino Unido, Nariman Gharib, divulgar capturas de tela de um link malicioso recebido via WhatsApp. A mensagem simulava um convite legítimo para reuniões virtuais, mas redirecionava as vítimas a uma página fraudulenta criada para roubo de credenciais.
O ataque ocorreu em meio a um período de forte instabilidade no Irã, que enfrenta o mais longo bloqueio nacional de internet de sua história, em meio a protestos contra o governo e repressões violentas. Segundo Gharib, a campanha teve como principais alvos pessoas ligadas a temas sensíveis sobre o país, incluindo ativistas, acadêmicos, jornalistas e autoridades governamentais.
A análise do código-fonte do site de phishing, realizada por pesquisadores independentes, revelou que a estrutura foi projetada para capturar credenciais do Gmail, comprometer contas do WhatsApp e coletar dados sensíveis dos dispositivos das vítimas, como localização geográfica, imagens e gravações de áudio.
Para ocultar a infraestrutura maliciosa, os hackers recorreram a um serviço de DNS dinâmico (DuckDNS), conferindo aparência de legitimidade aos links enviados. As páginas falsas estavam hospedadas em domínios recém-criados, registrados no final de 2025, o que indica planejamento prévio e execução coordenada da operação.
Uma falha crítica na infraestrutura do ataque permitiu que investigadores acessassem, sem autenticação, um arquivo com registros em tempo real das vítimas. O banco de dados continha mais de 850 entradas, incluindo endereços de e-mail, senhas, códigos de autenticação em dois fatores e informações sobre navegadores e sistemas operacionais, funcionando, na prática, como um keylogger remoto.
Entre as vítimas identificadas estavam um acadêmico especializado em segurança nacional no Oriente Médio, um executivo de uma empresa israelense de drones, um ministro libanês, além de jornalistas e usuários localizados nos Estados Unidos ou com números telefônicos norte-americanos. Embora o site de phishing já tenha sido retirado do ar, os impactos da campanha ainda estão sob investigação.
Além do roubo de credenciais, a ofensiva explorou uma técnica conhecida de sequestro de contas do WhatsApp, induzindo as vítimas a escanear um QR Code falso. Com isso, os invasores conseguiam vincular a conta a dispositivos sob seu controle, abusando de um recurso legítimo de pareamento técnica semelhante à já observada em ataques contra usuários do aplicativo Signal.
Pesquisadores como Runa Sandvik, fundadora da empresa Granitt, identificaram no código malicioso solicitações de permissões do navegador para acesso à geolocalização, câmera e microfone. Caso concedidas, essas permissões permitiriam o envio contínuo da localização da vítima aos atacantes, além da captura periódica de imagens e áudios.
A autoria da campanha permanece indefinida. Especialistas do Citizen Lab apontam semelhanças com ações de spear phishing historicamente associadas à Guarda Revolucionária Islâmica do Irã (IRGC). Outros indícios, no entanto, sugerem motivação financeira, levantando a hipótese de uma possível sobreposição entre interesses estatais e grupos hackers com fins lucrativos prática já atribuída anteriormente ao governo iraniano.
