El escurridizo camarilla de amenaza iraní conocido como infy (incluso conocido como Príncipe de Persia) ha evolucionado sus tácticas como parte de los esfuerzos por ocultar sus huellas, incluso cuando preparó una nueva infraestructura de comando y control (C2) que coincidió con el fin del corte generalizado de Internet que el régimen impuso a principios de enero de 2026.
“El actor de amenazas dejó de nutrir sus servidores C2 el 8 de enero por primera vez desde que comenzamos a monitorear sus actividades”, dijo Tomer Bar, vicepresidente de investigación de seguridad de SafeBreach, en un mensaje compartido con The Hacker News.
“Este fue el mismo día en que las autoridades iraníes impusieron un candado de Internet en todo el país en respuesta a las recientes protestas, lo que probablemente sugiere que incluso las unidades cibernéticas afiliadas al gobierno no tenían la capacidad o la motivación para transigir a límite actividades maliciosas internamente de Irán”.
La empresa de ciberseguridad dijo que observó una actividad renovada el 26 de enero de 2026, cuando el equipo de hackers instaló nuevos servidores C2, un día antiguamente de que el gobierno iraní relajara las restricciones de Internet internamente del país. El acontecimiento es significativo, sobre todo porque ofrece pruebas concretas de que el adversario está patrocinado y respaldado por el Estado de Irán.
Infy es solo uno de los muchos grupos de piratería patrocinados por el Estado que operan desde Irán y llevan a límite operaciones de espionaje, boicot e influencia alineadas con los intereses estratégicos de Teherán. Pero incluso es uno de los grupos más antiguos y menos conocidos que ha conseguido sobrevenir desapercibido, sin atraer la atención y operando silenciosamente desde 2004 mediante ataques “centrados con láser” dirigidos a individuos para compendiar información de inteligencia.
En un mensaje publicado en diciembre de 2025, SafeBreach reveló nuevas técnicas asociadas con el actor de amenazas, incluido el uso de versiones actualizadas de Foudre y Tonnerre; este final emplea un bot de Telegram probablemente para emitir comandos y compendiar datos. La última traducción de Tonnerre (traducción 50) lleva el nombre en código Tornado.
La visibilidad continua de las operaciones del actor de amenazas entre el 19 de diciembre de 2025 y el 3 de febrero de 2026 ha revelado que los atacantes han poliedro el paso de reemplazar la infraestructura C2 para todas las versiones de Foudre y Tonnerre, por otra parte de introducir la traducción 51 de Tornado que utiliza HTTP y Telegram para C2.
“Utiliza dos métodos diferentes para difundir nombres de dominio C2: primero, un nuevo operación DGA y luego nombres fijos utilizando la desofuscación de datos de blockchain”, dijo Bar. “Este es un enfoque único que suponemos que se está utilizando para dedicar decano flexibilidad en el registro de nombres de dominio C2 sin la carencia de desempolvar la traducción Tornado”.
Todavía hay indicios de que Infy ha utilizado como armamento una error de seguridad de 1 día en WinRAR (ya sea CVE-2025-8088 o CVE-2025-6218) para extraer la carga útil de Tornado en un host comprometido. El cambio de vector de ataque se ve como una forma de aumentar la tasa de éxito de sus campañas. Los archivos RAR especialmente diseñados se cargaron en la plataforma VirusTotal desde Alemania e India a mediados de diciembre de 2025, lo que sugiere que entreambos países pueden ocurrir sido el objetivo.
Adentro del archivo RAR hay un archivo autoextraíble (SFX) que contiene dos archivos:
- AuthFWSnapin.dll, la DLL principal de Tornado traducción 51
- reg7989.dll, un instalador que primero verifica si el software antivirus Avast no está instalado y, en caso afirmativo, crea una tarea programada para la persistencia y ejecuta la DLL Tornado.
Tornado establece comunicación con el servidor C2 a través de HTTP para descargar y ejecutar la puerta trasera principal y compendiar información del sistema. Si se elige Telegram como método C2, Tornado utiliza la API del bot para filtrar datos del sistema y aceptar más comandos.
Vale la pena señalar que la traducción 50 del malware utilizó un camarilla de Telegram llamado سرافراز (que se traduce textualmente como “sarafraz”, que significa orgullo) que presentaba el bot de Telegram “@ttestro1bot” y un heredero con el identificador “@ehsan8999100”. En la última traducción, se agregó un heredero diferente llamado “@Ehsan66442” en motivo de este final.
“Como antiguamente, el miembro bot del camarilla Telegram todavía no tiene permisos para estudiar los mensajes de chat del camarilla”, dijo Bar. “El 21 de diciembre, el heredero flamante @ehsan8999100 fue asociado a un nuevo canal de Telegram llamado Test que tenía tres suscriptores. El objetivo de este canal aún se desconoce, pero suponemos que se utiliza para comandar y controlar las máquinas de la víctima”.
SafeBreach dijo que logró extraer todos los mensajes internamente del camarilla privado de Telegram, lo que permitió el ataque a todos los archivos exfiltrados de Foudre y Tonnerre desde el 16 de febrero de 2025, incluidos 118 archivos y 14 enlaces compartidos que contienen comandos codificados enviados a Tonnerre por el actor de amenazas. Un observación de estos datos ha llevado a dos descubrimientos cruciales:
- Un archivo ZIP desconfiado que elimina ZZ Stealer, que carga una cambio personalizada del infostealer StormKitty
- Una “correlación muy musculoso” entre la dependencia de ataque de ZZ Stealer y una campaña dirigida al repositorio Python Package Index (PyPI) con un paquete llamado “testfiwldsd21233s” que está diseñado para eliminar una iteración precedente de ZZ Stealer y filtrar los datos a través de la API del bot de Telegram.
- Una “correlación potencial más débil” entre Infy y Charming Kitten (incluso conocido como Educated Manticore) conveniente al uso de archivos ZIP y de ataque directo de Windows (LNK), y una técnica de carga de PowerShell.
“ZZ Stealer parece ser un malware de primera etapa (como Foudre) que primero recopila datos ambientales, capturas de pantalla y extrae todos los archivos del escritorio”, explicó SafeBreach. “Adicionalmente, al aceptar el comando ‘8==3’ del servidor C2, descargará y ejecutará el malware de segunda etapa incluso denominado por el actor de amenazas como ‘8==3′”.
