(https://i.imgur.com/kNrUH5I.jpeg)
El grupo de amenazas iraní conocido como Infy, también identificado como Prince of Persia, ha vuelto a demostrar su capacidad de adaptación y sigilo al evolucionar sus tácticas, técnicas y procedimientos (TTP) durante los primeros meses de 2026. A pesar de ser uno de los grupos de ciberespionaje patrocinados por el Estado iraní menos mediáticos, Infy ha mantenido una actividad constante desde al menos 2004, centrando sus operaciones en ataques altamente dirigidos a individuos específicos para la obtención de inteligencia.
Investigadores de la firma de ciberseguridad SafeBreach han documentado cambios significativos en la infraestructura y el arsenal del grupo, especialmente coincidiendo con un evento político clave: el apagón nacional de internet impuesto por el régimen iraní a principios de enero de 2026 tras una ola de protestas internas.
El apagón de internet como indicador de patrocinio estatalSegún el informe de SafeBreach, Infy dejó de mantener su infraestructura de comando y control (C2) el 8 de enero de 2026, marcando la primera interrupción completa de su actividad desde que los investigadores comenzaron a monitorizar al grupo.
Este cese coincidió exactamente con el apagón nacional de internet impuesto por las autoridades iraníes, lo que sugiere que incluso las unidades cibernéticas alineadas con el Estado se vieron afectadas por las restricciones. Para los analistas, esta sincronización constituye una evidencia sólida de patrocinio estatal, ya que demuestra una dependencia directa de la conectividad nacional para sostener operaciones ofensivas.
La actividad se reanudó el 26 de enero de 2026, un día antes de que el gobierno comenzara a levantar las restricciones de internet, cuando Infy desplegó nuevos servidores C2, mostrando una rápida capacidad de recuperación y planificación anticipada.
Evolución del malware: Foudre, Tonnerre y TornadoEn diciembre de 2025, SafeBreach reveló nuevas capacidades técnicas del grupo, incluyendo versiones actualizadas de sus herramientas principales: Foudre y Tonnerre. Esta última evolucionó hasta convertirse en Tornado, nombre asignado a la versión 50 del malware, y posteriormente ampliada con la versión 51.
La monitorización continua entre el 19 de diciembre de 2025 y el 3 de febrero de 2026 reveló que Infy decidió reemplazar completamente su infraestructura C2 para todas las variantes activas de Foudre y Tonnerre, una medida poco común que sugiere preocupación por la exposición y el rastreo.
Tornado v51: C2 híbrido y generación dinámica de dominiosLa versión más reciente, Tornado v51, introduce un enfoque híbrido de comando y control, utilizando tanto HTTP tradicional como la API de bots de Telegram. Esta dualidad aumenta la resiliencia del malware y dificulta su interrupción.
Uno de los avances más destacados es el uso de dos métodos distintos para generar dominios C2:
- Un nuevo algoritmo de generación de dominios (DGA).
- Nombres de dominio fijos obtenidos mediante la desofuscación de datos almacenados en blockchain.
Este enfoque innovador permite a los operadores cambiar de infraestructura sin necesidad de actualizar el malware, aumentando significativamente su flexibilidad operativa y evasión.
Explotación de vulnerabilidades WinRAR como vector de ataqueExisten indicios sólidos de que Infy ha explotado una vulnerabilidad de día cero o recientemente divulgada en WinRAR (posiblemente CVE-2025-8088 o CVE-2025-6218) para entregar la carga útil de Tornado.
Los archivos RAR maliciosos fueron subidos a VirusTotal desde Alemania e India a mediados de diciembre de 2025, lo que sugiere que estos países podrían haber sido objetivos directos de la campaña. El cambio hacia este vector de ataque indica un intento deliberado de incrementar la tasa de infección, aprovechando software ampliamente utilizado.
Análisis del payload y persistenciaDentro de los archivos RAR se identificó un archivo autoextraíble (SFX) que contenía dos DLL clave:
- AuthFWSnapin.dll: DLL principal de Tornado v51.
- reg7989.dll: instalador encargado de verificar la ausencia del antivirus Avast, crear tareas programadas para persistencia y ejecutar Tornado.
Una vez activo, Tornado se comunica con su servidor C2 para descargar módulos adicionales de backdoor y recolección de datos. Cuando se utiliza Telegram como canal C2, el malware exfiltra información y recibe comandos directamente a través de bots.
Telegram como infraestructura de mando y controlLas versiones anteriores del malware utilizaban un grupo privado de Telegram llamado سرافراز (Sarafraz), junto con el bot @ttestro1bot y el usuario @ehsan8999100. En la versión más reciente, este último fue reemplazado por @Ehsan66442, manteniendo el mismo esquema operativo.
SafeBreach logró acceder a todos los mensajes del grupo privado, obteniendo archivos exfiltrados desde febrero de 2025, incluidos 118 archivos y 14 enlaces con comandos codificados.
Descubrimientos clave: ZZ Stealer y vínculos con PyPIEl análisis de los datos exfiltrados permitió identificar:
- Un archivo ZIP malicioso que despliega ZZ Stealer, una variante personalizada del infostealer StormKitty.
- Una correlación fuerte con una campaña maliciosa en Python Package Index (PyPI), que utilizó un paquete falso diseñado para exfiltrar datos mediante Telegram.
- Posibles vínculos técnicos con el grupo iraní Charming Kitten (Educated Manticore), basados en similitudes de TTP.
ZZ Stealer actúa como malware de primera etapa, recolectando información del entorno, capturas de pantalla y archivos del escritorio, y puede descargar una segunda etapa al recibir comandos específicos desde el C2.
Una amenaza persistente y en evoluciónInfy representa una amenaza avanzada, paciente y altamente adaptable. Su capacidad para modificar infraestructuras completas, integrar plataformas legítimas como Telegram y explotar vulnerabilidades recientes demuestra un nivel de sofisticación alineado con operaciones de ciberespionaje patrocinadas por el Estado.
Para organizaciones y gobiernos, este caso subraya la importancia de la detección temprana, la monitorización de C2 encubiertos y la inteligencia de amenazas frente a actores APT de larga duración.
Fuente: https://thehackernews.com/