Los cazadores de amenazas han discernido una nueva actividad asociada con un actor de amenazas iraní conocido como infy (incluso conocido como Príncipe de Persia), casi cinco primaveras a posteriori de que se observara que el montón de piratas informáticos atacaba a víctimas en Suecia, los Países Bajos y Turquía.
“La escalera de la actividad de Prince of Persia es más significativa de lo que anticipamos originalmente”, dijo Tomer Bar, vicepresidente de investigación de seguridad de SafeBreach, en un desglose técnico compartido con The Hacker News. “Este montón de amenazas sigue activo, relevante y peligroso”.
Infy es uno de los actores de amenazas persistentes avanzadas (APT) más antiguos que existen, con evidencia de actividad temprana que se remonta a diciembre de 2004, según un crónica publicado por la Pelotón 42 de Palo Parada Networks en mayo de 2016 y que incluso fue escrito por Bar, pegado con el investigador Simon Conant.
El montón incluso ha acabado permanecer esquivo y atraer poca atención, a diferencia de otros grupos iraníes como Charming Kitten, MuddyWater y OilRig. Los ataques organizados por el montón han aplicado de forma destacada dos tipos de malware: un descargador y perfilador de víctimas llamado Foudre que entrega un implante de segunda etapa llamado Tonnerre para extraer datos de máquinas de stop valía. Se estima que Foudre se distribuye a través de correos electrónicos de phishing.
Los últimos hallazgos de SafeBreach han descubierto una campaña ajuste dirigida a víctimas en Irán, Irak, Turquía, India y Canadá, así como en Europa, utilizando versiones actualizadas de Foudre (lectura 34) y Tonnerre (versiones 12-18, 50). La última lectura de Tonnerre se detectó en septiembre de 2025.
Las cadenas de ataques incluso han sido testigos de un cambio de un archivo de Microsoft Excel con macros a la incorporación de un ejecutable en el interior de dichos documentos para instalar Foudre. Quizás el aspecto más trascendente del modus operandi del actor de amenazas es el uso de un cálculo de concepción de dominio (DGA) para hacer que su infraestructura de comando y control (C2) sea más resistente.
Por otra parte, se sabe que los artefactos de Foudre y Tonnerre validan si el dominio C2 es auténtico descargando un archivo de firma RSA, que luego el malware descifra utilizando una esencia pública y lo compara con un archivo de fuerza almacenado localmente.
El investigación de SafeBreach de la infraestructura C2 incluso descubrió un directorio llamado “esencia” que se utiliza para la fuerza de C2, pegado con otras carpetas para juntar registros de comunicación y los archivos exfiltrados.
“Todos los días, Foudre descarga un archivo de firma dedicado oculto con una esencia privada RSA por el actor de la amenaza y luego utiliza la comprobación RSA con una esencia pública incorporada para probar que este dominio es un dominio suficiente”, dijo Bar. “El formato de la solicitud es:
‘https://
Asimismo está presente en el servidor C2 un directorio de “descarga” cuyo propósito coetáneo se desconoce. Se sospecha que se utiliza para descargar y desempolvar a una nueva lectura.
La última lectura de Tonnerre, por otro flanco, incluye un mecanismo para contactar a un montón de Telegram (llamado “سرافراز”, que significa “orgullosamente” en persa) a través del servidor C2. El montón tiene dos miembros: un bot de Telegram “@ttestro1bot” que probablemente se utiliza para emitir comandos y compilar datos, y un beneficiario con el identificador “@ehsan8999100”.
Si proporcionadamente el uso de la aplicación de transporte para C2 no es infrecuente, lo trascendente es que la información sobre el montón Telegram se almacena en un archivo llamado “tga.adr” en el interior de un directorio llamado “t” en el servidor C2. Vale la pena señalar que la descarga del archivo “tga.adr” solo se puede activar para una inventario específica de GUID de víctimas.
La empresa de ciberseguridad incluso descubrió otras variantes más antiguas utilizadas en las campañas de Foudre entre 2017 y 2020:
- Una lectura de Foudre camuflada como Amaq News Finder para descargar y ejecutar el malware
- Una nueva lectura de un troyano llamado MaxPinner que descarga la DLL lectura 24 de Foudre para espiar contenidos de Telegram
- Una variación de malware citación Deep Freeze, similar a Amaq News Finder, se utiliza para infectar a las víctimas con Foudre.
- Un malware desconocido llamado Rugissement
“A pesar de la apariencia de suceder desaparecido en 2022, los actores de amenazas de Prince of Persia han hecho todo lo contrario”, dijo SafeBreach. “Nuestra campaña de investigación en curso sobre este prolífico y esquivo montón ha resaltado detalles críticos sobre sus actividades, servidores C2 y variantes de malware identificadas en los últimos tres primaveras”.
La revelación se produce cuando el investigación continuo de DomainTools de las filtraciones de Charming Kitten ha pintado la imagen de un montón de hackers que funciona más como un sección ministerial, mientras ejecuta “operaciones de espionaje con precisión administrativa”. El actor de amenazas incluso ha sido desenmascarado detrás de la personalidad de Moses Staff.
“APT 35, la misma máquina administrativa que ejecuta las operaciones de phishing de credenciales a dadivoso plazo de Teherán, incluso dirigió la transporte que impulsó el teatro de ransomware de Moses Staff”, dijo la compañía.
“Los supuestos hacktivistas y la mecanismo cibernética del gobierno comparten no sólo herramientas y objetivos sino incluso el mismo sistema de cuentas por enriquecer. El mecenas de propaganda y el mecenas de espionaje son dos productos de un único flujo de trabajo: diferentes “proyectos” bajo el mismo régimen interno de transmisión de billetes.”
