Casi cinco años después de que se observara que el grupo de piratas informáticos atacaba a víctimas en Suecia, los Países Bajos y Turquía, los cazadores de amenazas descubrieron una nueva actividad vinculada al actor de amenazas iraní conocido como Infy (también conocido como Príncipe de Persia).
«La escala de las actividades de Prince of Persia es más significativa de lo que anticipamos originalmente», dijo Tomer Barr, vicepresidente de investigación de seguridad de SafeBreach, en un desglose técnico compartido con Hacker News. «Este grupo de amenaza sigue activo, relevante y peligroso».
Según un informe publicado por la Unidad 42 de Palo Alto Networks en mayo de 2016, Infy es uno de los actores de amenazas persistentes avanzadas (APT) más antiguos que existen, con evidencia temprana de actividad que se remonta a diciembre de 2004. El informe también fue escrito por Barr y el investigador Simon Conant.
El grupo también atrae poca atención y sigue siendo esquivo, a diferencia de otros grupos iraníes como Charming Kitten, MuddyWater y OilRig. Los ataques lanzados por este grupo utilizan principalmente dos tipos de malware. Uno es un descargador y el otro es un perfilador de víctimas llamado Foudre, que ejecuta un implante de segunda etapa llamado Tonnerre para extraer datos de máquinas de alto valor. Se sabe que Foudre se distribuye a través de correos electrónicos de phishing.
Los últimos hallazgos de SafeBreach revelan una campaña encubierta que utiliza versiones actualizadas de Foudre (versión 34) y Tonnerre (versiones 12-18, 50) para atacar a víctimas en Europa, así como en Irán, Irak, Turquía, India y Canadá. La última versión de Tonnerre se detectó en septiembre de 2025.
Las cadenas de ataques también han visto un cambio de archivos de Microsoft Excel que contienen macros a la incorporación de archivos ejecutables dentro de dichos documentos para instalar Foudre. Quizás el aspecto más notable del modus operandi de los actores de amenazas es el uso de algoritmos de generación de dominios (DGA) para aumentar la resiliencia de la infraestructura de comando y control (C2).
Además, se sabe que los artefactos Foudre y Tonnerre verifican la autenticidad de los dominios C2 descargando archivos de firma RSA. Luego, el malware utiliza la clave pública para descifrar el archivo y lo compara con el archivo de verificación almacenado localmente.
El análisis de SafeBreach de la infraestructura C2 también reveló un directorio llamado «clave» utilizado para la verificación C2, así como otras carpetas que almacenan registros de comunicación y archivos exfiltrados.
«Todos los días, Foodle descarga un archivo de firma patentado cifrado con una clave privada RSA por el actor de la amenaza y utiliza la validación RSA con una clave pública incorporada para verificar que este dominio es un dominio autorizado», dijo Bar. «El formato de la solicitud es:
«https:///clave/.sig»
El servidor C2 también tiene un directorio de «Descargas» cuyo propósito actual se desconoce. Se sospecha que se utiliza para descargar y actualizar nuevas versiones.
Mientras tanto, la última versión de Tonnerre incluye un mecanismo para contactar con grupos de Telegram (llamados سرافراز, que significa «orgullosamente» en persa) a través de un servidor C2. Este grupo tiene dos miembros. Un usuario con el identificador «@ehsan8999100» y un bot de Telegram «@ttestro1bot» que se cree que se utiliza para emitir comandos y recopilar datos.
El uso de aplicaciones de mensajería en C2 no es inusual, pero lo notable es que la información sobre los grupos de Telegram se almacena en un archivo llamado «tga.adr» en un directorio llamado «t» en el servidor C2. Tenga en cuenta que la descarga del archivo «tga.adr» solo se puede activar para una lista específica de GUID de víctimas.
Las empresas de ciberseguridad también descubrieron otras variantes más antiguas utilizadas en la campaña de Foudre de 2017 a 2020.
Una versión de Foudre disfrazada de Amaq News Finder que descarga y ejecuta malware Una nueva versión del troyano llamado MaxPinner, descargada por la DLL versión 24 de Foudre para espiar el contenido de Telegram Similar a Amaq News Finder, una variante del malware llamada Deep Freeze se utiliza para infectar a las víctimas con el malware Foudre Unknown llamado Rugissement
“A pesar de lo que parecía ser un giro oscuro en 2022, los actores de amenazas de Prince of Persia hicieron todo lo contrario”, dijo Safebreach. «Nuestros continuos esfuerzos de investigación contra este grupo prolífico y esquivo han descubierto detalles importantes sobre sus actividades durante los últimos tres años, sus servidores C2 y las variantes de malware que han identificado».
La divulgación se produce cuando el análisis continuo de DomainTools sobre la filtración de Charming Kitten arroja luz sobre una imagen más amplia de un grupo de piratas informáticos que opera como un departamento gubernamental mientras lleva a cabo un «espionaje administrativo de precisión». También se reveló que este actor de amenazas estaba detrás del personaje de Moses Staff.
«APT 35, la misma máquina administrativa que ejecuta la campaña de phishing de credenciales de larga duración de Teherán, también dirigió la logística del teatro de ransomware de Moses Staff», dijo la compañía.
«Los presuntos hacktivistas y las fuerzas cibernéticas gubernamentales comparten no sólo herramientas y objetivos, sino también el mismo sistema de cuentas por pagar. Los departamentos de propaganda y espionaje son dos productos de un único flujo de trabajo, diferentes ‘proyectos’ bajo el mismo sistema interno de emisión de billetes».
Source link
