Os ataques estão sendo conduzidos por um ator de ameaça vinculado ao Irã .

As investidas ocorreram em três ondas distintas, nos dias 3, 13 e 23 de março de 2026, e atingiram mais de 300 organizações em Israel e ao menos 25 nos Emirados Árabes Unidos.

Atividade associada ao mesmo grupo também foi observada em alvos pontuais na Europa, nos Estados Unidos, no Reino Unido e na Arábia Saudita.

O que diferencia essa campanha de operações comuns é o perfil dos alvos.

A Check Point constatou que o setor municipal israelense foi o principal foco, tanto em número de organizações afetadas quanto em volume de tentativas por organização.

A pesquisa aponta correlação direta entre as cidades-alvo da campanha digital e as localidades atingidas por mísseis iranianos em março.

Municípios são responsáveis, entre outras funções, por registrar e responder a danos causados por ataques com mísseis.

A conclusão é que a operação provavelmente serviu como suporte a esforços de Bombing Damage Assessment (BDA), a etapa em que um agressor avalia o impacto real dos ataques cinéticos para orientar novas ações militares.

Com isso, o Irã pode ter usado o acesso a e-mails de prefeituras para medir o estrago causado pelos próprios mísseis.

Além de municípios, foram visados órgãos governamentais, empresas do setor de energia, organizações das áreas de aviação, satélite e marítima, e companhias do setor privado.

O password spraying é uma variante das técnicas de força bruta que, em vez de testar muitas senhas em uma conta, o atacante escolhe um conjunto pequeno de senhas fracas e as testa em um grande número de contas diferentes.