O grupo de ciberespionagem iraniano conhecido como MuddyWater (ou Seedworm) foi dado como estando envolvido em operações de intrusão contra redes nos EUA, incluindo bancos e aeroportos, utilizando uma nova backdoor chamada Dindoor. Trata-se de um grupo que tem sido associado ao aparelho de segurança do Estado iraniano e que há vários anos conduz operações de espionagem digital contra governos, empresas e infraestruturas críticas.

Segundo investigações recentes das equipas de segurança Symantec/Broadcom e Carbon Black Threat Hunter, os atacantes conseguiram infiltrar-se em várias redes norte-americanas no início de fevereiro de 2026, numa altura que coincide com o conflito miltar entre o Irão, os Estados Unidos e Israel. A atividade inclui acesso persistente a sistemas internos, recolha de informação sensível e tentativa de manter presença prolongada nas redes comprometidas.

O elemento técnico mais relevante desta campanha é a utilização de uma nova backdoor chamada Dindoor. Esta ferramenta maliciosa é particularmente interessante porque utiliza o runtime JavaScript Deno, uma tecnologia relativamente recente que executa aplicações JavaScript fora do navegador. Ao usar Deno, os atacantes conseguem executar código malicioso de forma discreta em sistemas comprometidos, contornar alguns mecanismos de deteção tradicionais e manter canais de comunicação com servidores de comando e controlo.

Para além da Dindoor, os investigadores identificaram também outra backdoor chamada Fakeset, encontrada nas redes de um aeroporto norte-americano e de uma organização não-governamental. Isto sugere que o grupo está a utilizar múltiplas ferramentas em paralelo para garantir persistência, redundância e capacidade de movimentação dentro das redes comprometidas.

Este tipo de operação segue um padrão já observado em campanhas iranianas anteriores: primeiro ocorre uma intrusão inicial (frequentemente através de phishing, exploração de vulnerabilidades ou credenciais roubadas) depois os atacantes instalam malware que lhes permite manter acesso remoto, recolher dados, mover-se lateralmente dentro da rede e eventualmente preparar operações futuras de sabotagem ou chantagem.

O facto de as intrusões terem atingido bancos e aeroportos é particularmente relevante porque demonstra interesse em infraestruturas críticas e serviços essenciais, algo que já tinha sido observado em campanhas anteriores ligadas ao regime de Teerão. Mesmo quando não provocam danos imediatos, estes acessos podem permitir espionagem prolongada ou preparar ataques posteriores de maior escala ou com o propósito de destruição de dados (wipers).

Este aumento da atividade cibernética iraniana surge num contexto mais amplo de escalada geopolítica. Historicamente, sempre que existem confrontos militares ou crises diplomáticas envolvendo o Irão, observa-se também um aumento das operações no ciberespaço. As campanhas digitais funcionam como instrumento de pressão estratégica, espionagem e propaganda.

O que isto significa para Portugal?

Apesar destas operações terem sido identificadas nos Estados Unidos, o padrão observado é relevante para países europeus, incluindo Portugal.

Primeiro, porque grupos como o MuddyWater não operam apenas contra um único país. A sua atividade tem historicamente atingido alvos na Europa, Médio Oriente e América do Norte. Sempre que procuram informação estratégica, estes grupos tendem a atacar cadeias de fornecimento, parceiros tecnológicos e organizações ligadas aos alvos principais.

Segundo, porque os setores visados nesta campanha (banca, transportes e infraestruturas críticas) existem também em Portugal e estão frequentemente integrados em redes internacionais. Um ataque pode não visar diretamente uma entidade portuguesa, mas pode atingir um fornecedor, um parceiro logístico ou um sistema partilhado.

Terceiro, porque Portugal passou a ter exposição política adicional no atual contexto geopolítico devido ao uso da Base das Lajes em operações militares ligadas ao conflito com o Irão. Isto não transforma automaticamente o país num alvo prioritário de sabotagem, mas aumenta a probabilidade de operações de espionagem digital, reconhecimento ou campanhas de phishing contra organizações portuguesas.

Os setores portugueses potencialmente mais expostos incluem:

Administração pública e diplomacia
Forças armadas e empresas ligadas à defesa
Operadores de energia e combustíveis
Aeroportos, portos e logística
Banca e serviços financeiros
Telecomunicações
Universidades e centros de investigação tecnológica

Numa fase inicial, o risco mais plausível não é um ataque destrutivo, mas sim intrusões discretas para recolha de informação, roubo de credenciais ou posicionamento silencioso em redes com interesse estratégico.

Como é que as organizações portuguesas se podem preparar?

A experiência mostra que os ataques patrocinados por Estados raramente dependem de técnicas exóticas. Na maioria dos casos exploram falhas básicas de segurança.

As organizações devem começar por reduzir a superfície de ataque exposta à Internet, identificar serviços desnecessários e fechar portas abertas que não sejam essenciais.

É igualmente crítico garantir atualizações de segurança imediatas em VPNs, firewalls, servidores expostos, plataformas cloud e software de acesso remoto, porque estes são frequentemente os primeiros pontos de entrada explorados.

Outro ponto central é o controlo de identidades e acessos. O uso de autenticação multifator em todas as contas privilegiadas, a revisão de permissões administrativas e a eliminação de contas antigas ou esquecidas continuam a ser medidas fundamentais.

Também é necessário reforçar a proteção do email e dispositivos móveis, uma vez que campanhas de spear-phishing continuam a ser o vetor de intrusão mais utilizado por grupos como o MuddyWater.

Nas organizações com sistemas industriais ou infraestruturas críticas, é essencial manter separação clara entre redes IT e OT, limitar acessos remotos de fornecedores e monitorizar cuidadosamente qualquer atividade anómala.

Por fim, é fundamental assumir que a ciberguerra moderna raramente começa com um grande ataque visível. Muitas vezes começa com pequenas intrusões silenciosas, recolha de dados e preparação de acesso persistente.

O caso MuddyWater mostra exatamente isso: uma campanha de infiltração discreta em redes críticas que pode servir tanto para espionagem como para operações futuras, dependendo da evolução do contexto geopolítico.

Num cenário de conflito prolongado no Médio Oriente, este tipo de atividade tende a aumentar em frequência e sofisticação, tornando prudente que organizações europeias – incluindo as portuguesas – assumam um nível de alerta mais elevado no domínio da cibersegurança.

Fonte principal:
https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.html