Hackers ligados ao governo do Irã estão utilizando o aplicativo Telegram como ferramenta para espionar e roubar informações de dissidentes, grupos de oposição e jornalistas ao redor do mundo. O alerta foi divulgado pelo FBI na última sexta-feira.
De acordo com o comunicado, o ataque ocorre em duas etapas. Inicialmente, os criminosos entram em contato com as vítimas se passando por conhecidos ou equipes de suporte técnico. Eles induzem o alvo a baixar um arquivo malicioso disfarçado como aplicativos populares, como Telegram e WhatsApp.
Após a instalação do malware, inicia-se a segunda fase: o dispositivo infectado é conectado a bots dentro do Telegram, permitindo que os hackers controlem remotamente o sistema. Com isso, conseguem acessar arquivos, capturar imagens da tela e até gravar chamadas realizadas em plataformas como o Zoom.
Segundo o FBI, o uso do Telegram como canal de comando é uma tática recorrente entre cibercriminosos, pois ajuda a esconder atividades ilegais dentro de tráfego legítimo, dificultando a detecção por ferramentas de segurança.
As investigações apontam que os responsáveis pelos ataques têm ligação com o Ministério da Inteligência e Segurança do Irã, atuando para promover interesses estratégicos do regime iraniano.
O alerta também menciona o grupo hacktivista Handala, embora não haja confirmação de que ele esteja diretamente envolvido nas ações descritas. Recentemente, o grupo reivindicou um ataque contra a empresa Stryker, que resultou na inutilização de milhares de dispositivos corporativos.
A Stryker informou, em documento enviado à Comissão de Valores Mobiliários dos EUA, que ainda enfrenta impactos do incidente cibernético.
Além disso, o Departamento de Justiça dos EUA acusou o Handala de atuar como fachada para o governo iraniano, especialmente para o MOIS. Autoridades também derrubaram sites ligados ao grupo e a outra organização chamada Homeland Justice, ambos considerados sob controle estatal.
Em resposta, um porta-voz do Telegram afirmou que a plataforma remove regularmente contas associadas à disseminação de malware, reforçando seus esforços para conter atividades maliciosas.
