El elusivo grupo de amenaza iraní conocido como Infy (también conocido como Príncipe de Persia) ha evolucionado sus tácticas como parte de un esfuerzo por cubrir sus huellas, incluso mientras prepara una nueva infraestructura de comando y control (C2) para coincidir con el fin de un apagón generalizado de Internet impuesto por el régimen a principios de este mes.
«Los actores de amenazas cesaron el mantenimiento de sus servidores C2 el 8 de enero por primera vez desde que comenzamos a monitorear su actividad», dijo Tomer Bar, vicepresidente de investigación de seguridad de SafeBreach, en un informe compartido con The Hacker News.
“Este es el día en que las autoridades iraníes impusieron un cierre de Internet en todo el país en respuesta a las recientes protestas, lo que sugiere que tal vez incluso las fuerzas cibernéticas afiliadas al gobierno no tenían capacidad ni incentivo para llevar a cabo actividades maliciosas dentro de Irán”.
La firma de ciberseguridad anunció que el grupo de piratas informáticos instaló un nuevo servidor C2 y observó nueva actividad el 26 de enero de 2026, el día antes de que el gobierno iraní aliviara las restricciones de Internet en el país. Este acontecimiento es significativo, especialmente porque proporciona evidencia concreta de que el adversario está respaldado por el Estado y por Irán.
Infy es solo uno de los muchos grupos de piratas informáticos patrocinados por el Estado que operan fuera de Irán y llevan a cabo operaciones de espionaje, sabotaje e influencia en consonancia con los intereses estratégicos de Irán. Sin embargo, también es uno de los grupos más antiguos y menos conocidos, ya que ha operado silenciosamente bajo el radar desde 2004 mediante ataques «centrados con láser» dirigidos a individuos con fines de recopilación de información.
En un informe publicado en diciembre de 2025, SafeBreach reveló nuevas técnicas asociadas con actores de amenazas, incluido el uso de versiones actualizadas de Foudre y Tonnerre. Este último parece estar utilizando bots de Telegram para emitir comandos y recopilar datos. La última versión de Tonnerre (versión 50) tiene el nombre en código Tornado.
La visibilidad continua de la actividad del atacante desde el 19 de diciembre de 2025 hasta el 3 de febrero de 2026 reveló que el atacante introdujo la versión 51 de Tornado, que utiliza HTTP y Telegram en el C2, y tomó medidas para reemplazar todas las versiones de la infraestructura C2 de Foudre y Tonnerre.
«Se utilizan dos métodos diferentes para generar nombres de dominio C2: un nuevo algoritmo DGA y luego la desofuscación de datos de blockchain para arreglar el nombre», dijo Barr. «Este es un enfoque único que suponemos que se está utilizando para brindar más flexibilidad en el registro de nombres de dominio C2 sin tener que actualizar la versión de Tornado».
También hay indicios de que Infy pudo convertir en arma una falla de seguridad de un día en WinRAR (CVE-2025-8088 o CVE-2025-6218) para extraer una carga útil de Tornado en hosts comprometidos. Cambiar los vectores de ataque se considera una forma de aumentar la tasa de éxito de las campañas. A mediados de diciembre de 2025 se subió a la plataforma VirusTotal un archivo RAR especialmente creado, lo que sugiere que ambos países pueden haber sido el objetivo.
Dentro del archivo RAR hay un archivo autoextraíble (SFX) que contiene dos archivos.
AuthFWSnapin.dll, la DLL principal de Tornado versión 51 reg7989.dll, un instalador que primero comprueba si el software antivirus Avast está instalado y, si lo está, crea una tarea programada para hacerlo persistente y ejecuta la DLL Tornado
Tornado establece comunicación con el servidor C2 a través de HTTP, descarga y ejecuta la puerta trasera principal y recopila información del sistema. Si se selecciona Telegram como método C2, Tornado usa la API del bot para extraer datos del sistema y recibir más comandos.
Vale la pena señalar que la versión 50 del malware utilizó un grupo de Telegram llamado سرافراز (literalmente «sarafraz», que significa orgullo) con el bot de Telegram «@ttestro1bot» y un usuario con el identificador «@ehsan8999100». En la última versión, se agregó otro usuario «@Ehsan66442» en lugar de este último.
«Como antes, los miembros del bot en los grupos de Telegram todavía no tienen permiso para leer los mensajes del chat grupal», dijo Bar. «El 21 de diciembre, el usuario original @ehsan8999100 fue agregado a un nuevo canal de Telegram llamado Test con 3 suscriptores. El propósito de este canal aún se desconoce, pero creemos que se está utilizando para comandar y controlar la máquina de la víctima».
SafeBreach anunció que extrajo con éxito todos los mensajes en grupos privados de Telegram y ahora tiene acceso a todos los archivos filtrados de Foudre y Tonaire desde el 16 de febrero de 2025. Esto incluye 118 archivos y 14 enlaces compartidos que contienen comandos cifrados enviados a Tonaire por actores de amenazas. El análisis de estos datos arrojó dos hallazgos importantes.
Cargando una variante personalizada de StormKitty infostealer Archivo ZIP malicioso que elimina la cadena de ataque de ZZ Stealer ZZ Stealer y las iteraciones anteriores de ZZ Stealer usando un paquete llamado «testfiwldsd21233s» diseñado para filtrar datos a través del bot de Telegram API Python Package Index (PyPI) «Correlación muy fuerte» entre campañas dirigidas a repositorios «Correlación potencial» entre Infy y Charming Kitten (también conocido como Educated Manticore) a través el uso de archivos ZIP y de acceso directo de Windows (LNK) y técnicas de carga de PowerShell
«ZZ Stealer parece ser un malware de primera etapa (como Foudre) que primero recopila datos ambientales, capturas de pantalla y roba todos los archivos del escritorio», explicó SafeBreach. «Además, al recibir el comando «8==3» del servidor C2, descarga y ejecuta el malware de segunda etapa, también denominado «8==3″ por el actor de la amenaza».
Source link
