FBI alerta: grupo iraniano Handala usa Telegram como central de comando para espionagem e ataques destrutivos

Grupo iraniano transforma aplicativo de mensagens em arma cibernética

O Federal Bureau of Investigation (FBI) e a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiram, em março de 2026, um alerta conjunto sobre o grupo de hackers Handala, identificado como frente operacional do Ministério da Inteligência e Segurança do Irã (MOIS). A ameaça central documentada no aviso é a exploração do Telegram — plataforma de mensagens popular em todo o mundo — como infraestrutura de comando e controle (C2) para conduzir operações tanto de espionagem quanto de sabotagem digital em larga escala.

Como funciona a cadeia de ataque

A metodologia do Handala se desenvolve em dois estágios bem definidos. Na fase inicial, os operadores do grupo realizam campanhas de spear-phishing altamente direcionadas, fazendo-se passar por contatos de confiança das vítimas ou por equipes de suporte técnico. O objetivo é induzir o alvo a clicar em links que instalam arquivos maliciosos disfarçados de aplicativos legítimos — incluindo, ironicamente, o próprio Telegram e o WhatsApp. Uma vez que o dispositivo é comprometido, entra em cena a segunda etapa: bots automatizados do Telegram estabelecem um canal persistente de comunicação entre os atacantes e o sistema infectado. Por meio dessas conexões, os operadores conseguem roubar arquivos, capturar capturas de tela e gravar chamadas de videoconferência, como reuniões no Zoom. A escolha do Telegram como vetor de C2 não é acidental: o tráfego gerado pela plataforma se mistura ao fluxo legítimo de rede corporativa, dificultando a detecção por ferramentas tradicionais de segurança.

Ataques destrutivos e o caso Stryker

Além das operações de espionagem, o Handala demonstrou disposição para ações francamente destrutivas. O caso mais emblemático recente envolveu a empresa de tecnologia médica Stryker Corporation, em março de 2026: os invasores se valeram do Microsoft Intune — ferramenta legítima de gerenciamento de dispositivos — para apagar remotamente dados em aproximadamente 80 mil dispositivos corporativos. O episódio ilustra uma tendência preocupante de grupos patrocinados por Estados que mesclam capacidades de coleta de inteligência com sabotagem direta de infraestruturas. O Departamento de Justiça dos Estados Unidos já apresentou acusações formais contra membros do grupo, reforçando a atribuição governamental iraniana. O FBI caracterizou publicamente essas operações como tentativas do governo de Teerã de "avançar a agenda geopolítica do regime" por meios cibernéticos, com foco especial em organizações ligadas a Israel e aliados ocidentais, além de setores críticos como saúde, energia e tecnologia.

O que organizações devem fazer

Diante do cenário descrito, especialistas e as próprias agências federais recomendam um conjunto de medidas defensivas prioritárias. A autenticação multifator obrigatória para contas com privilégios elevados é apontada como a barreira mais eficaz contra o acesso inicial. Complementarmente, o monitoramento contínuo de acessos administrativos e a análise do tráfego de rede em nível de aplicação — capaz de identificar padrões anômalos mesmo em plataformas consideradas benignas, como o Telegram — são passos essenciais. Por fim, treinamentos regulares de conscientização sobre engenharia social reduzem significativamente a taxa de sucesso de campanhas de phishing sofisticadas como as empregadas pelo Handala. O alerta reforça que ameaças persistentes avançadas (APTs) de origem estatal não distinguem porte de empresa ou setor ao escolher alvos — e que a negligência diante de sinais de comprometimento pode custar caro.

Fonte original: SempreUpdate — FBI alerta: grupo Handala usa Telegram para espionagem e ataques destrutivos. Corroborado pelo aviso oficial IC3/CISA (março de 2026) e pelo TechCrunch.