El escurridizo grupo de amenazas iraní conocido como Infy (también conocido como Prince of Persia) ha evolucionado sus tácticas como parte de sus esfuerzos por ocultar sus huellas, incluso cuando estaba preparando una nueva infraestructura de mando y control (C2) coincidiendo con el fin del apagón generalizado de Internet el régimen impuesto a principios de mes.

«El actor de amenazas dejó de mantener sus servidores C2 el 8 de enero por primera vez desde que empezamos a monitorear sus actividades», dijo Tomer Bar, vicepresidente de investigación de seguridad de SafeBreach, dijo en un informe compartido con The Hacker News.

«Fue el mismo día en que las autoridades iraníes impusieron el cierre de Internet en todo el país en respuesta a las recientes protestas, lo que probablemente sugiere que ni siquiera las unidades cibernéticas afiliadas al gobierno tenían la capacidad o la motivación para llevar a cabo actividades maliciosas en Irán».

La empresa de ciberseguridad dijo que observó una actividad renovada el 26 de enero de 2026, cuando el equipo de piratas informáticos configuró nuevos servidores C2, un día antes de que el gobierno iraní relajara las restricciones de Internet en el país. El avance es significativo, sobre todo porque ofrece pruebas concretas de que el adversario cuenta con el patrocinio y el respaldo del Estado iraní.

Infy es solo uno de los muchos grupos de hackers patrocinados por el estado que operan desde Irán y llevan a cabo operaciones de espionaje, sabotaje e influencia alineadas con los intereses estratégicos de Teherán. Pero también es uno de los grupos más antiguos y menos conocidos que ha conseguido pasar desapercibido, sin llamar la atención y operar discretamente desde 2004 mediante ataques «con láser» dirigidos contra personas con el fin de recopilar información de inteligencia.

adsense

En un informe publicado en diciembre de 2025, SafeBreach reveló una nueva técnica relacionada con el actor de la amenaza, incluido el uso de versiones actualizadas de Foudre y Tonnerre, y este último empleaba un bot de Telegram que probablemente emitiera comandos y recopilara datos. La última versión de Tonnerre (versión 50) lleva el nombre en clave Tornado.

La visibilidad continua de las operaciones del actor de amenazas entre el 19 de diciembre de 2025 y el 3 de febrero de 2026 ha descubierto que los atacantes han tomado la decisión de reemplazar la infraestructura C2 para todas las versiones de Foudre y Tonnerre, además de introducir la versión 51 de Tornado, que usa HTTP y Telegram para C2.

«Utiliza dos métodos diferentes para generar nombres de dominio C2: primero, un nuevo algoritmo de DGA y luego nombres fijos mediante la desofuscación de datos de la cadena de bloques», dijo Bar. «Se trata de un enfoque único que suponemos que se está utilizando para ofrecer una mayor flexibilidad a la hora de registrar los nombres de dominio C2 sin necesidad de actualizar la versión de Tornado».

También hay indicios de que Infy ha convertido en arma una falla de seguridad de 1 día en WinRAR (ya sea CVE-2025-8088 o CVE‑2025‑6218 ) para extraer la carga útil del Tornado en un host comprometido. El cambio en el vector de ataque se considera una forma de aumentar la tasa de éxito de sus campañas. Los archivos RAR especialmente diseñados se subieron a la plataforma VirusTotal a mediados de diciembre de 2025, lo que sugiere que los dos países podrían haber sido atacados.

Dentro del archivo RAR hay un archivo autoextraíble (SFX) que contiene dos archivos:

  • AuthFWSnapin.dll, la DLL principal de Tornado versión 51
  • reg7989.dll, un instalador que primero comprueba si el software antivirus de Avast no está instalado y, en caso afirmativo, crea una tarea programada para que persista y ejecuta la DLL de Tornado

Tornado establece la comunicación con el servidor C2 a través de HTTP para descargar y ejecutar la información principal del sistema de recolección y puerta trasera. Si se elige Telegram como método C2, Tornado usa la API del bot para filtrar los datos del sistema y recibir más comandos.

Vale la pena señalar que la versión 50 del malware utilizaba un grupo de Telegram llamado (que se traduce literalmente como «sarafraz», que significa orgulloso) en el que aparecían el bot de Telegram "@ttestro1bot" y un usuario con el nombre de usuario "@ehsan8999100». En la última versión, otro usuario llamado» @Ehsan66442 «se ha añadido en lugar de este último.

«Como antes, el miembro bot del grupo Telegram todavía no tiene permisos para leer los mensajes de chat del grupo», dijo Bar. «El 21 de diciembre, el usuario original @ehsan8999100 fue agregado a un nuevo canal de Telegram llamado Test que tenía tres suscriptores. Aún se desconoce el objetivo de este canal, pero suponemos que se está utilizando para el mando y el control de las máquinas de la víctima».

enlaces

SafeBreach lo dijo logró a extracto todos los mensajes del grupo privado de Telegram, lo que permite el acceso a todos los archivos filtrados de Foudre y Tonnerre desde el 16 de febrero de 2025, incluidos 118 archivos y 14 enlaces compartidos que contienen comandos codificados enviados a Tonnerre por el actor de la amenaza. El análisis de estos datos ha llevado a dos descubrimientos cruciales:

  • Un archivo ZIP malintencionado que elimina ZZ Stealer, que carga una variante personalizada del Storm Kitty ladrón de información
  • Una «correlación muy fuerte» entre la cadena de ataque de ZZ Stealer y una campaña dirigida al repositorio del índice de paquetes de Python (PyPI) con un paquete llamado» test fiwldsd21233s «que está diseñado para eliminar una iteración anterior de ZZ Stealer y filtrar los datos a través de la API de bots de Telegram
  • Una «correlación potencial más débil» entre Infy y Gatito encantador (también conocido como Educated Manticore) debido al uso de archivos ZIP y Windows Shortcut (LNK) y a una técnica de carga de PowerShell

«ZZ Stealer parece ser un malware de primera fase (como Foudre) que primero recopila datos ambientales, capturas de pantalla y filtra todos los archivos del escritorio», explica SafeBreach. «Además, al recibir el comando '8==3' del servidor C2, descargará y ejecutará el malware de segunda fase, también denominado '8==3' por el autor de la amenaza».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.