Los cazadores de amenazas han descubierto una nueva actividad asociada con un actor de amenazas iraní conocido como Infy (también conocido como Prince of Persia), casi cinco años después de que el grupo de hackers fuera observado apuntando a las víctimas en Suecia, los Países Bajos y Turquía.
«La escala de la actividad de Prince of Persia es más significativa de lo que habíamos previsto originalmente», dijo Tomer Bar, vicepresidente de investigación de seguridad de SafeBreach, dijo en un desglose técnico compartido con The Hacker News. «Este grupo de amenazas sigue activo, es relevante y peligroso».
Infy es uno de los actores de amenazas persistentes avanzadas (APT) más antiguos que existen, y las pruebas de una actividad temprana se remontan a diciembre de 2004, según un informe publicado por la Unidad 42 de Palo Alto Networks en mayo de 2016 y escrito también por Bar, junto con el investigador Simon Conant.
El grupo también ha logrado mantenerse esquivo y atraer poca atención, a diferencia de otros grupos iraníes como Gatito encantador , Agua fangosa , y Plataforma petrolífera . Los ataques organizados por el grupo han aprovechado de manera destacada dos tipos de malware: un descargador y un generador de perfiles de víctimas llamado Foudre que coloca un implante de segunda fase llamado Tonnerre para extraer datos de máquinas de gran valor. Se ha determinado que Foudre se distribuye a través de correos electrónicos de suplantación de identidad.
Los últimos hallazgos de SafeBreach han descubierto una campaña encubierta dirigida a víctimas en Irán, Irak, Turquía, India y Canadá, así como en Europa, utilizando versiones actualizadas de Foudre (versión 34) y Tonnerre (versiones 12-18, 50). La última versión de Tonnerre se detectó en septiembre de 2025.
Las cadenas de ataque también han sido testigos de un cambio desde un archivo de Microsoft Excel con macros a incrustar un ejecutable en dichos documentos para instalar Foudre. Quizás el aspecto más notable del modus operandi de los actores de amenazas sea el uso de un algoritmo de generación de dominios (DGA) para aumentar la resiliencia de su infraestructura de mando y control (C2).
Además, se sabe que los artefactos de Foudre y Tonnerre validan si el dominio C2 es auténtico descargando un archivo de firma RSA, que el malware luego descifra mediante una clave pública y lo compara con un archivo de validación almacenado localmente.
El análisis de SafeBreach de la infraestructura de C2 también ha descubierto un directorio denominado «clave» que se utiliza para la validación de C2, junto con otras carpetas para almacenar los registros de comunicación y los archivos filtrados.
«Todos los días, Foudre descarga un archivo de firma dedicado cifrado con una clave privada RSA por el actor de la amenaza y, a continuación, utiliza la verificación RSA con una clave pública integrada para verificar que este dominio es un dominio aprobado», explica Bar. «El formato de la solicitud es:
'https://<domain name>/key/ <domain name><yy><day of year>.sig. '»
También está presente en el servidor C2 un directorio de «descargas» cuyo propósito actual se desconoce. Se sospecha que se usa para descargar y actualizar a una nueva versión.
La última versión de Tonnerre, por otro lado, incluye un mecanismo para contactar con un grupo de Telegram (llamado «», que significa «orgulloso» en persa) a través del servidor C2. El grupo tiene dos miembros: un «bot» de Telegram». @ttestro1bot «que probablemente se use para emitir comandos y recopilar datos, y un usuario con el identificador» @ehsan8999100 ».
Si bien el uso de la aplicación de mensajería para C2 no es infrecuente, lo notable es que la información sobre el grupo de Telegram se almacena en un archivo llamado «tga.adr» dentro de un directorio llamado «t» en el servidor C2. Vale la pena señalar que la descarga del archivo «tga.adr» solo se puede activar para una lista específica de GUID de víctimas.
La empresa de ciberseguridad también descubrió otras variantes antiguas utilizadas en las campañas de Foudre entre 2017 y 2020 -
- Una versión de Foudre camuflada como Amaq News Finder para descargar y ejecutar el malware
- Una nueva versión de un troyano llamado MaxPinner que Foudre descarga la versión 24 de la DLL para espiar el contenido de Telegram
- Una variante del malware llamada Deep Freeze, similar a Amaq News Finder, se utiliza para infectar a las víctimas con Foudre
- Un malware desconocido llamado Rugissement
«A pesar de que parece que se quedó a oscuras en 2022, los actores de amenazas de Prince of Persia han hecho todo lo contrario», afirma SafeBreach. «En los últimos tres años, nuestra campaña de investigación en curso sobre este prolífico y esquivo grupo ha puesto de relieve detalles fundamentales sobre sus actividades y sus servidores C2 y ha identificado variantes de malware».
La revelación se produce como parte del continuo análisis de DomainTools sobre Charming Kitten filtra ha descrito el panorama de un grupo de hackers que funciona más como un departamento gubernamental y que lleva a cabo «operaciones de espionaje con precisión administrativa». También se ha desenmascarado al autor de la amenaza por estar detrás del Bastón de Moisés persona.
«APT 35, la misma máquina administrativa que ejecuta las operaciones de suplantación de identidad de credenciales a largo plazo en Teherán, también gestionó la logística que impulsó el teatro de ransomware de Moses Staff», dijo la empresa dijo .
«Los supuestos hacktivistas y la ciberunidad gubernamental comparten no solo herramientas y objetivos, sino también el mismo sistema de cuentas por pagar. La rama de propaganda y la de espionaje son dos productos de un mismo flujo de trabajo: diferentes «proyectos» bajo el mismo régimen interno de venta de entradas».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS