A análise das contas em redes sociais associadas a representantes iranianos e a estruturas ligadas à respetiva embaixada em Portugal revela um conjunto consistente de padrões que devem merecer atenção séria de quem se preocupa com a segurança interna, a cibersegurança e a própria resiliência democrática do país.

Estamos a falar de um regime cujo parlamento, com todos os deputados vestidos de uniforme, aprovou de forma unânime uma declaração política que classifica como “hostil” a decisão da União Europeia de designar a Guarda Revolucionária do Irão como organização terrorista e que, em retaliação, declarou como “terroristas” todos os militares de todos os países europeus que integram a NATO, incluindo Portugal. Esta decisão não é simbólica nem retórica. A partir de fevereiro, à luz desta votação, todos os militares portugueses, em território nacional ou no estrangeiro, passam a ser formalmente considerados “alvos legítimos” pelas forças direta ou indiretamente controladas por Teerão na Síria, no Iraque, no Iémen, no Líbano ou na Palestina, bem como pelas próprias forças militares e paramilitares do regime iraniano. Trata-se de uma ameaça direta, credível e particularmente grave, sobretudo no cenário de uma eventual operação militar norte-americana contra alvos na República Islâmica.

Neste enquadramento, importa compreender a dimensão cibernética da ameaça. A Guarda Revolucionária iraniana é apontada, por consenso alargado entre especialistas, como estando por detrás do APT33, também conhecido como Holmium, Elfin ou Peach Sandstorm. Este grupo de guerra cibernética segue um modelo clássico de intrusão estatal, pouco sofisticado do ponto de vista técnico, mas altamente eficaz na persistência e no volume das suas operações externas. O ponto de partida é quase sempre o erro humano, através de campanhas de spearphishing com anexos comprimidos ou links para ficheiros HTML e HTA maliciosos, muitas vezes mascarados de comunicações legítimas. Em paralelo, recorre de forma sistemática a password spraying contra contas corporativas e serviços cloud, explorando más práticas crónicas de gestão de palavras-passe e reutilização de credenciais.

Após o acesso inicial, o grupo aposta fortemente em ferramentas públicas e amplamente conhecidas. PowerShell, VBScript e frameworks como Empire, PoshC2 ou PowerSploit são usados para descarregar payloads, executar código e manter controlo remoto. Não há inovação técnica nem desenvolvimento de ferramentas próprias de raiz. Há reutilização agressiva de ferramentas comuns a outros APT, o que dificulta a atribuição imediata e dilui sinais claros de ataque. A recolha de credenciais é central na sua doutrina operacional. O grupo extrai palavras-passe de browsers, ficheiros, políticas de grupo e da memória do sistema, recorrendo a ferramentas como LaZagne e Mimikatz e a técnicas de dump do LSASS, complementando este esforço com sniffing de rede sempre que encontra redes mal segmentadas.

A persistência é garantida por métodos antigos, mas comprovadamente eficazes. Chaves de arranque no registo do Windows, tarefas agendadas, subscrições WMI e colocação de malware em pastas de arranque são usadas para assegurar que o acesso sobrevive a reinícios e a limpezas superficiais. Em ambientes Microsoft, o grupo explora também regras do Outlook e contas Office 365 comprometidas para manter presença lateral. O comando e controlo é deliberadamente banal. Usa HTTP e HTTPS em portas não padrão, codificação base64 e encriptação simétrica AES. O objetivo não é esconder-se de análises forenses profundas, mas misturar-se no ruído normal do tráfego empresarial. Para a exfiltração de dados, separa canais e recorre frequentemente a FTP simples e não cifrado, um sinal claro de pragmatismo operacional e não de sofisticação técnica.

Em fases mais agressivas, o grupo explora vulnerabilidades conhecidas e antigas em software comum, como WinRAR ou componentes do Windows, tanto para execução remota como para escalada de privilégios. Quando o contexto operacional o exige, não hesita em usar malware destrutivo, incluindo wipers, demonstrando que não se limita a espionagem e aceita deliberadamente danos colaterais.

Os alvos preferenciais do APT33 são bem conhecidos e consistentes ao longo do tempo. Empresas de energia, petróleo e gás, aviação civil e militar, manutenção aeronáutica, aeroportos, logística crítica, indústrias associadas à defesa, fornecedores de tecnologia industrial, entidades governamentais e universidades com investigação sensível estão no topo da lista. Não se trata de atacar PME ao acaso, mas de atingir organizações de elevado valor estratégico, com acesso indireto a cadeias críticas e onde a interrupção, espionagem ou sabotagem têm impacto real.

Em Portugal, os exemplos mais óbvios incluem a EDP, a REN e a Galp, por operarem infraestruturas críticas e sistemas industriais estratégicos. Na aviação civil e militar, surgem naturalmente a TAP, pela sua posição estratégica e ligações internacionais, e a OGMA, particularmente sensível pela sua atividade de manutenção, modernização e suporte a aeronaves civis e militares, incluindo plataformas NATO. No domínio aeroportuário, a ANA Aeroportos concentra sistemas críticos de operação, logística e segurança. Na logística crítica destacam-se a CP, a Infraestruturas de Portugal e a Administração dos Portos de Sines e do Algarve, sendo Sines especialmente relevante pela energia, gás, cabos submarinos e cadeias logísticas internacionais. Nas indústrias associadas à defesa surgem empresas como a Tekever, ligada a sistemas não tripulados de uso militar e dual-use, e a EID, associada a sistemas de comunicações militares. Nos fornecedores de tecnologia industrial entra a EFACEC, pela sua presença em energia, transportes e automação industrial, bem como integradores de sistemas SCADA e OT menos visíveis mediaticamente. No Estado, os alvos naturais incluem ministérios com peso estratégico, como Defesa, Ambiente e Energia ou Infraestruturas, e organismos técnicos como a ANAC ou a DGEG. Nas universidades, o interesse recai sobretudo sobre instituições com investigação em engenharia, energia, defesa e tecnologias críticas, como o Instituto Superior Técnico, a Universidade do Minho, a Universidade de Aveiro e a Universidade do Porto, muitas vezes não como alvo final, mas como porta de entrada para projetos, parcerias e cadeias de fornecimento sensíveis.

No domínio da prevenção, a realidade é desconfortável:

1. A primeira linha de defesa continua a falhar de forma sistemática: formação contínua e obrigatória contra phishing para todos os trabalhadores, incluindo administrações e equipas técnicas, com simulações regulares e consequências reais. O APT33 vive de cliques. Se o utilizador não cai, a campanha colapsa cedo.

2. A segunda medida é eliminar a superfície de ataque mais explorada, através de autenticação multifator obrigatória em todas as contas, sem exceções, incluindo VPN, email, cloud, contas de serviço e administração. Password spraying só funciona onde ainda se tolera o intolerável.

3. A terceira passa por endurecer seriamente os ambientes Microsoft, com PowerShell em modo restrito, logging avançado ativo e centralizado, VBScript e macros desativados por defeito e bloqueio de execução de HTA, VBE e scripts não assinados. Em 2026 não há justificação operacional legítima para manter estes vetores abertos.

4. A quarta medida é controlar de forma ativa os mecanismos de persistência, monitorizando chaves de arranque, tarefas agendadas, subscrições WMI e regras do Outlook.

5. A quinta é reduzir drasticamente o valor das credenciais roubadas, com segmentação de rede real, separação estrita entre contas administrativas e de utilizador, proibição de logins administrativos em estações comuns e proteção de LSASS com Credential Guard. Onde isto existe, Mimikatz deixa de ser uma arma eficaz.

6. A sexta é assumir que a exfiltração vai tentar parecer normal, o que exige inspeção de tráfego de saída, alertas para FTP não autorizado, atenção a portas anómalas como 808 ou 880 e correlação entre acessos internos e tráfego externo.

7. A sétima é gestão rigorosa de vulnerabilidades, focada no software que o grupo realmente explora, com atualizações rápidas, inventário real de ativos e eliminação de aplicações desnecessárias.

8. A oitava é preparar resposta a incidentes com realismo, incluindo backups offline testados, planos de contenção rápida e capacidade de segmentar redes sem paralisar a organização, sabendo que este grupo pode passar de espionagem a destruição sem aviso.

A este quadro técnico junta-se uma dimensão menos visível, mas igualmente relevante, de manipulação de opinião pública. A análise das contas de Facebook associadas a representantes oficiais do Irão em Portugal revela padrões já observados noutros países europeus em ecossistemas digitais ligados a regimes autoritários. É possível identificar uma convergência ideológica aparentemente impossível, com apoio simultâneo de extrema-esquerda anti-NATO e de extrema-direita nacionalista, um padrão clássico de desestabilização informacional que privilegia amplificação e caos em detrimento de coerência ideológica. Observa-se também uma forte presença de perfis não portugueses, baseados em países como Brasil, Angola, Honduras, Macau ou Rússia, com fraca ligação real a Portugal, algo pouco orgânico para uma missão diplomática em Lisboa e típico de redes de amplificação artificial.

Há ainda sinais recorrentes de perfis falsos ou semi-falsos, com contas vazias ou quase vazias, nomes genéricos com números, datas de criação recentes, listas de amigos ocultas e atividade concentrada quase exclusivamente em temas geopolíticos alinhados com narrativas pró-Irão, pró-Rússia ou anti-UE. Isto não prova que sejam agentes do regime, mas demonstra que não são utilizadores normais. Paralelamente, surgem perfis iranianos claramente institucionais, ligados ao Estado ou a diplomatas, que confirmam que estas páginas funcionam como nós oficiais de comunicação, levantando questões sérias de transparência, sobretudo quando uma embaixada opta por usar perfis pessoais em vez de páginas institucionais, contornando regras públicas das próprias plataformas.

Finalmente, há a utilização sistemática do que a literatura designa, de forma dura mas técnica, como “idiotas úteis”. Perfis ideologicamente motivados, sem ligação orgânica ao Irão, que amplificam narrativas do regime por afinidade política. Não são agentes. São instrumentos involuntários de propaganda externa. Neste contexto, merece atenção particular a ligação observável a presença de deputados da Assembleia da República nas listas de “amigos” destas entidades iranianas em Portigal e, sobretudo a ligação entre algumas destas contas iranianas em Portugal e a Fabiosa Media, uma editora global de media digital sediada em Chipre, especializada em conteúdo viral, clickbait e vídeos emocionalmente manipuladores, muitos deles encenados, cujo verdadeiro produto é a atenção e a audiência, monetizadas através de publicidade.

A conclusão é clara e incómoda. O risco não é teórico nem distante. Existe uma convergência entre ameaça militar declarada, guerra cibernética persistente e operações de influência digital que afetam diretamente Portugal. Ignorar esta realidade, tratar estes sinais como exageros ou confiar apenas em soluções tecnológicas sem disciplina organizacional é repetir erros já bem documentados noutros países. A segurança nacional, hoje, começa tanto no comportamento digital quotidiano como nas decisões estratégicas do Estado. E continua a falhar, sobretudo, quando se subestima o básico.

Receba um alerta sempre que Rui Martins publique um novo artigo.

© Observador