Na madrugada de 11 de março de 2026, às 3h30 hora do leste dos EUA, os dispositivos da Stryker Corporation começaram a apagar-se. Laptops, telemóveis e servidores em três continentes ficaram em branco, substituídos pelo logótipo da Handala, um grupo de hackers ligado ao Irão. Em poucas horas, o ataque destruiu cerca de 80.000 dispositivos Windows confirmados, com a Handala a reivindicar a destruição de mais de 200.000 sistemas em 79 países e a extração de 50 terabytes de dados críticos. Foi o maior ataque cibernético destrutivo de origem iraniana alguma vez registado contra uma empresa ocidental.
A Stryker, com receitas anuais superiores a 22 mil milhões de dólares e operações em mais de 100 países, fabrica implantes ortopédicos, equipamentos cirúrgicos e dispositivos de emergência médica. O colapso dos seus sistemas informáticos globais não foi apenas um incidente corporativo: afetou hospitais, cirurgiões e distribuidores de equipamento médico em dezenas de nações durante as semanas seguintes. O incidente redefiniu o que se entende por ataque de wiper moderno, ao substituir malware personalizado por ferramentas legítimas de gestão de TI empresarial.
Cronologia Completa: de 11 de Março a 3 de Abril
O ataque à Stryker seguiu uma progressão rápida e devastadora. A Handala não usou ransomware tradicional nem malware de difusão automática. Em vez disso, comprometeu credenciais de administrador do Microsoft Intune, a plataforma de gestão de dispositivos empresariais da Microsoft, e executou comandos de limpeza remota a nível global com um único conjunto de instruções.
| Data | Evento | Fonte |
|---|---|---|
| 11 mar. 2026, 03h30 EST | Início do ataque; dispositivos apagados em três continentes | Testemunhos de funcionários, Reddit/r/cybersecurity |
| 11 mar. 2026, manhã | Stryker anuncia “perturbação global” no ambiente Microsoft; Handala publica comunicado no X | Stryker.com, SecurityWeek |
| 11 mar. 2026 | Handala reivindica: 200K sistemas destruídos, 50 TB exfiltrados, 79 países afetados | ABC News, SecurityWeek |
| 12 mar. 2026 | Stryker informa a SEC que o prazo de recuperação é desconhecido | The Record Media |
| 12 mar. 2026 | CISA abre investigação; Polónia reporta tentativa de ataque ao Centro Nuclear | Nextgov/FCW |
| 13 mar. 2026 | Stryker publica atualização: “acredita que o incidente está contido” | Stryker.com |
| 15 mar. 2026 | Stryker confirma contenção do ataque; sistemas em restauração prioritária | HIPAA Journal |
| 24 mar. 2026 | The Record revela que ficheiro malicioso foi usado para ocultar atividade dos atacantes | The Record Media |
| 3 abr. 2026 | Stryker anuncia recuperação total; Q1 2026 afetado nos resultados financeiros | HIPAA Journal |
| 17 abr. 2026 | Palo Alto Networks Unit 42 publica análise técnica das ciberoperações iranianas de 2026 | Unit 42 Threat Brief |
Quem é a Handala: o Grupo por Detrás do Ataque
A Handala não é um grupo de hackers amadores com motivações financeiras. Segundo a Palo Alto Networks Unit 42, a persona Handala Hack está ligada ao Ministério de Informação e Segurança do Irão (MOIS) e opera como fachada hacktivist para operações estatais com possibilidade de negação plausível. A denominação oficial usada pelos serviços de inteligência ocidentais inclui os nomes Void Manticore e Storm-842.
O grupo surgiu em finais de 2023 e desde então conduziu operações contra alvos em Israel, nos Estados do Golfo e em organizações ocidentais, sempre enquadradas como retaliação por eventos geopolíticos. As suas táticas incluem roubo de dados, defacement de páginas de login corporativas, ameaças diretas a indivíduos e ataques destrutivos de limpeza de dados. A Unit 42 documentou que a Handala comprometeu uma empresa israelita de exploração de energia, os sistemas de combustível da Jordânia e organizações de saúde civil israelitas antes do ataque à Stryker.
A Unit 42 identificou que a Handala coordena com outras entidades pró-iranianas dentro da “Sala de Operações Eletrónicas” criada a 28 de fevereiro de 2026, apenas 11 dias antes do ataque à Stryker. Esta estrutura de comando coordena grupos como o APT Iran, o Cyber Islamic Resistance e o RipperSec para ataques simultâneos de DDoS, limpeza de dados e defacement contra infraestruturas israelitas e ocidentais. A criação desta sala dias antes do ataque indica premeditação e coordenação estruturada, não ação de oportunidade.
Como Funcionou o Ataque: Microsoft Intune como Arma
A análise técnica do ataque à Stryker revelou uma abordagem que se afasta radicalmente do ransomware convencional. Em vez de implantar malware nos endpoints, os atacantes exploraram a plataforma de gestão de dispositivos empresariais da Microsoft para destruir dados a nível global com um único conjunto de comandos. O resultado foi funcionalmente idêntico a um ataque de wiper, mas executado inteiramente através de ferramentas legítimas de TI.
O Guardz, empresa de cibersegurança que publicou a análise técnica mais detalhada do incidente, resumiu o mecanismo com precisão: “A Handala acedeu à consola Microsoft Intune da Stryker e emitiu um comando de limpeza remota a nível empresarial. As funcionalidades nativas do Intune foram usadas para enviar comandos de reset do sistema operativo a sistemas e dispositivos móveis, em vez de implantar malware de limpeza. Isso requer acesso a portais de nível de administrador, o que indica um comprometimento de credenciais de alto nível.”
O vetor de entrada inicial foi provavelmente phishing. Um utilizador do Reddit com acesso a informação interna confirmou na data do ataque: “Parece que um dos seus administradores foi vítima de phishing.” Uma vez obtidas as credenciais de administrador do Intune, os atacantes executaram uma política de limpeza que se propagou instantaneamente a todos os dispositivos Windows geridos pela plataforma em 79 países, laptops, telemóveis e tablets.
A Stryker inicialmente afirmou “não ter indicação de ransomware ou malware.” Essa declaração era tecnicamente precisa: não havia payload de malware nos endpoints. O ataque funcionou inteiramente através de ferramentas legítimas de gestão de TI. Em 24 de março, investigações aprofundadas com a Palo Alto Networks Unit 42 identificaram um ficheiro malicioso usado para executar comandos e ocultar a atividade dos atacantes no ambiente, mas esse ficheiro não era capaz de propagação. A Stryker publicou uma “General Assurance Letter” da Unit 42 confirmando que sistemas de clientes, fornecedores e parceiros não foram afetados.
Stryker: o Gigante Médico no Centro da Tempestade
A Stryker Corporation, sediada em Portage, Michigan, é uma das maiores empresas de tecnologia médica do mundo. Com receitas superiores a 22 mil milhões de dólares, mais de 50.000 funcionários e operações em mais de 100 países, a empresa produz desde implantes ortopédicos e equipamentos de sala de operações até sistemas de emergência médica pré-hospitalar. Os seus dispositivos são usados em hospitais e clínicas em todos os continentes.
O colapso dos sistemas informáticos da Stryker não afetou apenas os seus escritórios. Perturbou as funções de encomenda, expedição, fabrico e processamento das quais hospitais e cirurgiões dependem para receber dispositivos médicos críticos. A empresa confirmou à SEC que o ataque causou perturbações que se esperava que “continuassem a afetar o acesso a certos sistemas e aplicações de informação,” sem fornecer um prazo de recuperação.
O ataque impactou os resultados do primeiro trimestre de 2026. Embora a Stryker não tenha divulgado valores discriminados, os custos incluíram a substituição de dezenas de milhar de dispositivos Windows, os honorários da equipa de resposta a incidentes da Unit 42, a restauração de sistemas e dados a partir de backups, e os custos de horas extraordinárias do pessoal de TI durante as três semanas de recuperação. A empresa ficou totalmente operacional apenas em 3 de abril, três semanas após o ataque, um resultado considerado relativamente positivo dada a extensão do dano inicial.
Contexto Geopolítico: Retaliação no Ciberespaço por Guerra Cinética
A Handala enquadrou o ataque explicitamente como retaliação pela guerra EUA-Israel-Irão em curso em 2026. Num comunicado publicado no X, o grupo declarou ter agido “em retaliação pelo brutal ataque à escola de Minab e em resposta aos ataques cibernéticos contínuos contra a infraestrutura.” A escola de Minab, no Irão, foi alvo de um ataque aéreo com vítimas civis, atribuído pelos meios de comunicação iranianos às forças americanas e israelitas.
A Stryker foi descrita pela Handala como “uma corporação de raízes sionistas” e “um dos braços-chave do lobby sionista global.” Esta retórica, embora politicamente motivada, reflete uma estratégia deliberada de selecionar alvos corporativos ocidentais de elevado perfil para maximizar o impacto económico e mediático, ao mesmo tempo que se evita o escalamento para infraestruturas críticas que poderia desencadear uma resposta militar direta dos EUA.
O ataque inseriu-se num padrão mais amplo. Em paralelo, autoridades polacas relataram que o Irão poderá ter tentado atacar o Centro Nacional de Investigação Nuclear da Polónia na mesma semana. A “Sala de Operações Eletrónicas” coordenava ataques simultâneos a múltiplos alvos ocidentais e israelitas, criando um front cibernético paralelo ao conflito cinético com objetivos de pressão psicológica, impacto económico e sinalização geopolítica.
Resposta das Autoridades: CISA, FBI e Unit 42
A resposta institucional foi rápida, mas fragmentada. A CISA abriu uma investigação em 12 de março, um dia após o ataque, e colaborou com a Stryker para partilhar inteligência sobre o incidente. O FBI recusou confirmar publicamente se estava a investigar, emitindo apenas uma declaração genérica de “sem comentários.” Esta ausência de atribuição pública formal reflete as complexidades diplomáticas do conflito EUA-Israel-Irão em curso em 2026.
A Stryker contratou a Palo Alto Networks Unit 42 como principal parceiro de resposta a incidentes. A Unit 42 emitiu uma “General Assurance Letter” que a Stryker publicou no seu site, confirmando que a análise forense não identificou qualquer evidência de que o atacante tivesse acedido a sistemas de clientes, fornecedores, vendedores ou parceiros externos. A carta serviu como garantia formal para os parceiros hospitalares preocupados com a segurança dos dados dos seus doentes.
A Unit 42 publicou também um briefing de ameaças mais amplo sobre as ciberoperações iranianas de 2026, classificando a Handala como “a persona iraniana mais proeminente” no conflito atual. O documento identifica a Handala como ligada ao MOIS, situando-a no contexto da “Sala de Operações Eletrónicas” e documentando múltiplos ataques anteriores a alvos israelitas e do Médio Oriente.
Análise de Especialistas: Citações Diretas
Alex Orleans, diretor de inteligência de ameaças na empresa de cibersegurança Sublime Security, contextualizou historicamente o incidente: “Estamos numa nova fase, pois este é o nosso primeiro exemplo público de retaliação cibernética iraniana no decorrer deste conflito. Antes, víamos principalmente grupos hacktivistas ou personas hacktivistas fazendo afirmações inverificáveis. Agora temos um incidente aparentemente concreto com uma frente de inteligência iraniana conhecida a assumir a responsabilidade pela operação.”
Um analista da gTIC da Optiv detalhou a sofisticação técnica: “O incidente atual sugere que foram usadas funcionalidades e ferramentas nativas, especificamente o Microsoft Intune, para enviar comandos de reset do sistema operativo e apagar dados de sistemas e dispositivos móveis, em vez de implantar malware de limpeza. Isso sugere as capacidades de um agente de ameaça bem equipado e experiente.”
Nicholas Thompson, comentador de tecnologia que analisou o incidente extensivamente, sublinhou a novidade da técnica de ataque: “Não foi o seu típico ataque de ransomware, nem o típico ‘entrar no sistema corporativo, proteger a base de dados, bloquear toda a gente.’ O que fizeram foi entrar numa consola administrativa de TI corporativa e foram capazes de apagar remotamente toneladas de dispositivos Microsoft. Foi algo novo e inesperado.”
A Arctic Wolf, empresa de monitorização de segurança que seguiu o incidente desde o primeiro dia, emitiu um aviso imediato: “Atualmente, não há indicação de impacto além da Stryker. No entanto, recomendamos fortemente a monitorização das atualizações oficiais da Stryker, pois poderão surgir novas informações ao longo do tempo, potencialmente revelando alterações no âmbito, sistemas adicionais afetados, ou impactos operacionais adicionais.”
Comparação com Ataques Iranianos Históricos: Evolução do Wiper
O ataque à Stryker insere-se numa longa tradição de ataques cibernéticos destrutivos de origem iraniana, mas representa uma evolução metodológica significativa em relação aos precedentes históricos. A diferença fundamental é que enquanto o Shamoon e o ZeroCleare dependiam de malware personalizado que precisava de ser implantado e executado nos sistemas alvo, a Handala usou ferramentas de gestão de TI legítimas já presentes na infraestrutura da Stryker. Esta abordagem “living off the land” (vivendo da terra) tornou a deteção quase impossível até o dano estar consumado.
| Ataque | Ano | Grupo / Ligação | Vítima | Método | Sistemas Afetados | Países |
|---|---|---|---|---|---|---|
| Shamoon 1.0 | 2012 | Cutting Sword of Justice (Irão) | Saudi Aramco | Malware wiper Disttrack (MBR e ficheiros) | ~30.000 computadores | 1 |
| Shamoon 2.0 | 2016 | APT33/Elfin (Irão) | Governo Arábia Saudita | Disttrack atualizado, Stonedrill | Vários ministérios | 1 |
| Triton/TRISIS | 2017 | APT ligado ao IRGC | Petroquímica Saudita | Ataque a sistemas de segurança Triconex | Sistemas SIS industriais | 1 |
| ZeroCleare | 2019 | APT34/Oilrig (Irão) | Setor energético M. Oriente | Malware wiper via EldoS RawDisk | Não divulgado | Vários |
| Stryker / Handala | 2026 | Handala / MOIS (Irão) | Stryker Corporation | Microsoft Intune (ferramenta legítima de gestão) | 80.000+ confirmados (200K reivindicados) | 79 |
A escala geográfica é sem precedente: 79 países versus operações anteriores confinadas a 1 a 3 países. O alcance foi possível precisamente pela escolha do vetor: o Microsoft Intune é, por definição, uma plataforma de gestão global que não conhece fronteiras geográficas. Um único comando de administrador propaga-se instantaneamente a todos os dispositivos geridos no mundo inteiro, independentemente do fuso horário ou da localização física.
Impacto no Setor de Saúde e Dispositivos Médicos
O ataque à Stryker colocou em evidência a vulnerabilidade específica do setor de dispositivos médicos a ataques cibernéticos destrutivos com potencial impacto na saúde pública. Hospitais e cirurgiões em dezenas de países dependem dos sistemas de encomenda e expedição da Stryker para receber dispositivos críticos como implantes de anca e joelho, equipamentos de sala de operações e sistemas de neurologia intervencionista.
A CISA identificou o setor da saúde como alvo prioritário de grupos pró-iranianos desde pelo menos 2023. A Unit 42 documentou que a Handala tinha “afirmado ter como alvo a saúde civil israelita para criar pressão doméstica” mesmo antes da escalada cinética de 2026. O ataque à Stryker representou a extensão desta estratégia a uma empresa ocidental com operações globais, amplificando o impacto geopolítico através do setor da saúde com consequências que iam além dos danos informáticos diretos.
A perturbação de três semanas nas operações de expedição forçou alguns procedimentos cirúrgicos eletivos a ser adiados enquanto as cadeias de fornecimento alternativas eram estabelecidas. Embora a Stryker tenha ativado “medidas de continuidade para continuar a apoiar clientes e parceiros,” a magnitude do colapso sistémico tornou inevitável um período de interrupção parcial dos serviços hospitalares dependentes dos produtos da empresa.
O Microsoft Intune como Vetor de Ataque: Lições para Empresas
O caso Stryker é um alerta para qualquer organização que use plataformas de gestão de dispositivos em nuvem. O Microsoft Intune é utilizado por dezenas de milhares de empresas em todo o mundo para gerir laptops, telemóveis e outros dispositivos empresariais. A sua funcionalidade de limpeza remota, concebida para proteger dados em caso de perda ou roubo de dispositivos, tornou-se a própria arma do ataque quando as credenciais de administrador foram comprometidas.
Para que este ataque fosse possível, os atacantes precisavam apenas de credenciais de administrador do Intune, provavelmente obtidas através de phishing. Uma vez autenticados na consola de administração, podiam emitir um único comando que se propagava instantaneamente a todos os dispositivos geridos globalmente. Não era necessária a implantação de malware em cada dispositivo individualmente, não existiam assinaturas de malware para os sistemas de deteção identificarem, e a ação passava como tráfego administrativo legítimo.
As medidas de mitigação imediatas identificadas pelos especialistas incluem a implementação de autenticação multifator resistente a phishing (chaves FIDO2) para todas as contas de administrador do Intune; a limitação rigorosa do número de contas com privilégios de limpeza remota global; a segmentação do Intune por região geográfica para evitar que um único conjunto de credenciais possa acionar limpezas em todos os países; e a monitorização contínua em tempo real de ações administrativas de alto impacto com alertas automáticos para qualquer tentativa de limpeza em massa.
Impacto na Cibersegurança Global: o Setor Reage
O ataque à Stryker gerou uma reação imediata no setor de cibersegurança. Microsoft, Palo Alto Networks e outros fornecedores principais emitiram orientações específicas sobre proteção de ambientes Intune após o incidente. A Microsoft atualizou as suas recomendações de configuração de segurança para o Intune, reforçando a necessidade de políticas de acesso condicional restritivas para ações administrativas de alto impacto como a limpeza remota de dispositivos.
No contexto europeu, o Cyber Resilience Act, em vigor desde setembro de 2026, inclui disposições específicas sobre a segurança de plataformas de gestão remota de dispositivos, precisamente o tipo de vetor explorado no ataque à Stryker. As organizações europeias com produtos que incluam componentes de gestão remota têm obrigações de notificação e segurança que abrangem diretamente estas superfícies de ataque.
O Relatório DBIR 2026 da Verizon documentou que 48% dos ataques envolveram um terceiro e que 62% envolveram o elemento humano, incluindo phishing para roubo de credenciais. O ataque à Stryker confirma empiricamente ambas as tendências: o phishing de credenciais de administrador foi o vetor inicial, e a exploração de plataformas de gestão de terceiros foi o mecanismo destrutivo que amplificou o impacto a escala global.
5 Previsões para Ataques Cibernéticos de Origem Estatal em 2026
Com base no padrão estabelecido pelo ataque à Stryker e nas análises da Unit 42 e de outros investigadores, é possível delinear as principais evoluções esperadas nos ataques de origem estatal para o segundo semestre de 2026.
1. Ataques “living off the land” tornar-se-ão a norma para atores estatais avançados. O sucesso da Handala ao usar o Microsoft Intune como arma demonstrou que ferramentas legítimas de gestão são vetores eficazes e difíceis de detetar. Espera-se que outros grupos estatais adotem abordagens semelhantes com plataformas como Microsoft Entra ID, AWS IAM, Google Cloud IAM e Jamf para ambientes Apple.
2. O setor da saúde continuará como alvo prioritário de ataques geopoliticamente motivados. A saúde é simultaneamente vital e vulnerável: os hospitais não podem interromper operações para implementar atualizações de segurança, e os dispositivos médicos têm ciclos de vida longos com software frequentemente desatualizado. A demonstração de capacidade para perturbar cadeias de fornecimento médico tem um valor de sinalização geopolítica elevado para atores estatais.
3. A “Sala de Operações Eletrónicas” iraniana escalará a coordenação de ataques simultâneos. A estrutura criada em fevereiro de 2026 representa uma maturação da capacidade cibernética ofensiva iraniana. Ataques coordenados contra múltiplos alvos ocidentais em simultâneo criam pressão de resposta que sobrecarrega as equipas de segurança e dificulta a atribuição rápida.
4. O tempo médio de recuperação de ataques de wiper via gestão de dispositivos aumentará nas organizações sem backups offline. Ao contrário do ransomware, onde os dados podem teoricamente ser recuperados com o pagamento de resgate, os ataques de limpeza de dispositivos exigem reinstalação completa de sistemas operativos e recuperação de dados a partir de backups. Organizações sem backups offline adequados e testados poderão não recuperar completamente.
5. A adoção de arquiteturas Zero Trust acelerará em multinacionais após o caso Stryker. O modelo de confiança zero, que exige verificação de identidade para cada ação administrativa independentemente da localização, é o principal antídoto contra ataques que exploram credenciais de administrador comprometidas. O caso Stryker forneceu o argumento de negócio que muitas organizações precisavam para justificar o investimento nesta arquitetura.
Cobertura Relacionada
Para um contexto mais amplo sobre as ameaças de atores estatais e as técnicas de ataque documentadas em 2026:
- Relatório Unit 42 2026: Ciberataques Roubam Dados em 72 Minutos
- Hackers Russos Atacam WhatsApp e Signal: SIS Alerta Oficiais [2026]
- Novo Nordisk: FulcrumSec Rouba 1,3 TB e Exige $25M [2026]
- Ransomware Sem Encriptação: 44% das Falhas [2026]
- DBIR 2026: 31% das Fugas por Vulnerabilidades [2026]
Perguntas Frequentes
O que é a Handala e qual é a sua ligação ao Irão?
A Handala (também conhecida como Handala Hack Team, Void Manticore e Storm-842) é um grupo de ciberoperações ligado ao Ministério de Informação e Segurança do Irão (MOIS), segundo a Palo Alto Networks Unit 42. Opera publicamente como um coletivo hacktivist pró-iraniano e pró-palestiniano, o que permite ao governo iraniano negar envolvimento direto. Está ativo desde pelo menos finais de 2023 e conduziu operações contra alvos em Israel, nos países do Golfo e no Ocidente.
Como foi possível apagar 80.000 dispositivos Stryker simultaneamente?
Os atacantes comprometeram credenciais de administrador do Microsoft Intune, a plataforma de gestão de dispositivos empresariais usada pela Stryker em todo o mundo. O Intune tem uma funcionalidade de limpeza remota concebida para proteger dispositivos perdidos ou roubados. Ao aceder à consola de administração com credenciais válidas, os atacantes emitiram um comando de limpeza que se propagou instantaneamente a todos os dispositivos geridos pela plataforma nos 79 países onde a Stryker opera. Não foi necessário instalar malware em cada dispositivo individualmente.
Os dados dos pacientes ou clientes da Stryker foram comprometidos?
A Palo Alto Networks Unit 42, que conduziu a investigação forense, emitiu uma “General Assurance Letter” concluindo que não havia evidências de que o atacante tivesse acedido a sistemas de clientes, fornecedores, vendedores ou parceiros da Stryker. A Handala reivindicou a extração de 50 terabytes de dados internos da Stryker, mas esses dados são internos à empresa e não incluem dados de pacientes ou clientes finais, de acordo com a investigação da Unit 42.
Quanto tempo demorou a Stryker a recuperar?
A Stryker ficou totalmente operacional em 3 de abril de 2026, aproximadamente três semanas após o ataque de 11 de março. O processo incluiu a restauração de sistemas a partir de backups, a reinstalação de sistemas operativos em dezenas de milhar de dispositivos, a verificação da integridade da rede e a implementação de medidas de segurança adicionais. O ataque afetou os resultados financeiros do primeiro trimestre de 2026.
Como podem as empresas proteger-se contra ataques semelhantes?
As principais medidas de proteção são: implementar autenticação multifator resistente a phishing (FIDO2) para todas as contas com privilégios de administrador do Microsoft Intune e de outras plataformas de gestão de dispositivos; limitar o número de contas com capacidade de executar limpezas remotas globais; implementar segmentação geográfica para que um único conjunto de credenciais não possa acionar limpezas em todos os países simultaneamente; monitorizar continuamente ações administrativas de alto impacto com alertas em tempo real; e adotar uma arquitetura Zero Trust que exija verificação adicional para ações destrutivas e irreversíveis.
Este ataque pode ser replicado por outros grupos contra outras empresas?
A preocupação da comunidade de segurança é que o sucesso da Handala funcione como prova de conceito para outros grupos estatais. Plataformas de gestão de dispositivos empresariais equivalentes como Microsoft Entra ID, VMware Workspace ONE, Google Endpoint Management e Jamf apresentam superfícies de ataque similares. Qualquer organização que use estas plataformas com políticas de acesso privilegiado inadequadas está exposta a um ataque metodologicamente idêntico.
Qual foi a resposta do governo dos EUA ao ataque?
A CISA abriu uma investigação em 12 de março de 2026, um dia após o ataque. O FBI recusou confirmar se estava a investigar. O governo norte-americano não fez declarações públicas de atribuição formal ao Irão, embora a Unit 42 e outros investigadores privados tenham confirmado com confiança moderada a ligação ao MOIS iraniano. A ausência de resposta pública formal reflete as complexidades diplomáticas do conflito EUA-Israel-Irão em curso no primeiro trimestre de 2026.
