Los cazadores de amenazas han descubierto nueva actividad vinculada a un actor de amenazas iraní llamado información (también conocido como Príncipe de Persia), casi cinco años después de que se observara que el grupo de piratas informáticos atacaba a víctimas en Suecia, los Países Bajos y Turquía.
“La escala de la actividad de Prince of Persia es más significativa de lo que esperábamos originalmente”, dijo Tomer Bar, vicepresidente de investigación de seguridad de SafeBreach, en un desglose técnico compartido con The Hacker News. “Este grupo de amenazas sigue activo, relevante y peligroso”.
Según un informe publicado en mayo de 2016 por Palo Alto Networks Unit 42, también escrito por Bar con el investigador Simon Conant, Infy es uno de los actores de amenazas persistentes avanzadas (APT) más antiguos que existen. Las primeras actividades se remontan a diciembre de 2004.
A diferencia de otros grupos iraníes como Charming Kitten, MuddyWater y OilRig, el grupo también ha logrado permanecer esquivo y atraer poca atención. Los ataques llevados a cabo por el grupo explotaron dos tipos principales de malware: un descargador y perfilador de víctimas llamado Foudre, que entrega un implante de segunda etapa llamado Tonnerre para extraer datos de máquinas de alto valor. Se cree que Foudre se distribuye a través de correos electrónicos de phishing.
Los últimos hallazgos de SafeBreach han descubierto una campaña encubierta dirigida a víctimas en Irán, Irak, Turquía, India y Canadá, así como en Europa, utilizando versiones actualizadas de Foudre (versión 34) y Tonnerre (versiones 12-18, 50). La última versión de Tonnerre se descubrió en septiembre de 2025.
Las cadenas de ataques también vieron un cambio de un archivo de Microsoft Excel enriquecido con macros a incrustar un archivo ejecutable en dichos documentos para instalar Foudre. Quizás el aspecto más notable del enfoque del actor de amenazas es el uso de un algoritmo de generación de dominio (DGA) para hacer que su infraestructura de comando y control (C2) sea más resistente.
Además, se sabe que los artefactos de Foudre y Tonnerre verifican la autenticidad del dominio C2 descargando un archivo de firma RSA, que luego el malware descifra utilizando una clave pública y lo compara con un archivo de validación almacenado localmente.
El análisis de SafeBreach de la infraestructura C2 también descubrió un directorio llamado “clave” utilizado para la validación de C2, junto con otras carpetas para almacenar registros de comunicación y los archivos exfiltrados.
“Todos los días, Foudre descarga un archivo de firma especial cifrado por el actor de la amenaza con una clave privada RSA y luego utiliza la verificación RSA con una clave pública incorporada para verificar que este dominio es un dominio aprobado”, dijo Bar. “El formato de la solicitud es:
'https://
También hay un directorio de “Descarga” en el servidor C2, cuyo propósito actual se desconoce. Se sospecha que se utiliza para descargar y actualizar a una nueva versión.
La última versión de Tonnerre, por otro lado, incluye un mecanismo para contactar con un grupo de Telegram (llamado “سرافراز”, que significa “orgulloso” en persa) a través del servidor C2. El grupo consta de dos miembros: un bot de Telegram “@ttestro1bot”, que probablemente se utiliza para emitir comandos y recopilar datos, y un usuario con el identificador “@ehsan8999100”.
Si bien el uso de la aplicación de mensajería para C2 no es infrecuente, cabe destacar que la información sobre el grupo Telegram se almacena en un archivo llamado “tga.adr” en un directorio llamado “t” en el servidor C2. Cabe señalar que la descarga del archivo tga.adr solo se puede activar para una lista específica de GUID de víctimas.
La empresa de ciberseguridad también descubrió otras variantes más antiguas utilizadas en las campañas de Foudre entre 2017 y 2020:
- Una versión de Foudre disfrazada de Amaq News Finder para descargar y ejecutar el malware
- Una nueva versión de un troyano llamado MaxPinner que se descarga desde la DLL versión 24 de Foudre para espiar contenidos de Telegram
- Una variante de malware llamada Deep Freeze, similar a Amaq News Finder, se utiliza para infectar a las víctimas con Foudre.
- Un malware desconocido llamado Rugissement
“A pesar de la apariencia de que no queda nada en 2022, los actores de amenazas de Prince of Persia han hecho exactamente lo contrario”, dijo SafeBreach. “Nuestra campaña de investigación en curso sobre este grupo prolífico y esquivo ha resaltado detalles clave sobre sus actividades, servidores C2 y variantes de malware identificadas durante los últimos tres años”.
La revelación se produce cuando el análisis en curso de DomainTools sobre las filtraciones de Charming Kitten presenta una imagen de un grupo de piratas informáticos que funciona más como una agencia gubernamental mientras realiza “operaciones de espionaje con precisión burocrática”. También se reveló que el actor de amenazas estaba detrás del papel de Moses Staff.
“APT 35, el mismo motor administrativo que ejecuta las operaciones de phishing de credenciales a largo plazo de Teherán, también gestionó la logística que alimenta el teatro de ransomware de Moses Staff”, dijo la compañía.
“Los presuntos hacktivistas y la unidad cibernética estatal no sólo comparten herramientas y objetivos comunes, sino también el mismo sistema de pago. Los departamentos de propaganda y espionaje son dos productos de un mismo flujo de trabajo: diferentes 'proyectos' bajo el mismo sistema interno de tickets.”
About The Author
