O grupo de ameaça iraniano conhecido como Infy (também chamado Prince of Persia) tem evoluído suas táticas para dificultar a detecção, enquanto preparava uma nova infraestrutura de comando e controle (C2), coincidindo com o fim do blackout de internet imposto pelo regime no início do mês.
Segundo Tomer Bar, vice-presidente de pesquisa em segurança da SafeBreach, “o ator de ameaça interrompeu a manutenção de seus servidores C2 em 8 de janeiro pela primeira vez desde que começamos a monitorar suas atividades”.
Naquele mesmo dia, as autoridades iranianas decretaram o desligamento total da internet em resposta aos recentes protestos, o que indica que nem mesmo unidades cibernéticas afiliadas ao governo estavam aptas ou motivadas a realizar ações maliciosas internamente.
A SafeBreach registrou a retomada das atividades em 26 de janeiro de 2026, quando o grupo começou a configurar novos servidores C2, um dia antes do relaxamento das restrições de internet no Irã.
Esse movimento reforça a evidência de que Infy é um grupo patrocinado e apoiado pelo governo iraniano.
Infy é apenas uma das várias operações estatais de hacking ligadas ao Irã, que realizam espionagem, sabotagem e operações de influência alinhadas aos interesses estratégicos de Teerã.
Considerado um dos grupos mais antigos e discretos, ele atua desde 2004 com ataques altamente direcionados, focados na coleta de inteligência individual.
Em relatório divulgado em dezembro de 2025, a SafeBreach detalhou novas técnicas usadas pelo grupo, incluindo versões atualizadas das ferramentas Foudre e Tonnerre.
Esta última utiliza um bot no Telegram para emitir comandos e coletar dados.
A versão mais recente do Tonnerre (v50) recebeu o codinome Tornado.
O monitoramento das operações entre 19 de dezembro de 2025 e 3 de fevereiro de 2026 revelou que os invasores substituíram a infraestrutura C2 para todas as versões do Foudre e do Tonnerre, introduzindo a versão 51 do Tornado, que utiliza HTTP e Telegram para comunicação.
Tomer Bar explica: “O malware usa dois métodos diferentes para gerar nomes de domínio C2: um novo algoritmo DGA e nomes fixos baseados na desofuscação de dados da blockchain.
Essa abordagem oferece mais flexibilidade para registrar domínios sem necessidade de atualizar o Tornado.”
Também há indícios de que o Infy passou a explorar uma vulnerabilidade zero-day no WinRAR (provavelmente
CVE-2025-8088
ou
CVE-2025-6218
) para executar o payload do Tornado em sistemas comprometidos.
Essa alteração no vetor de ataque busca aumentar a efetividade das campanhas.
Arquivos RAR especialmente criados foram enviados à plataforma VirusTotal em meados de dezembro de 2025, indicando que dois países foram alvos.
Dentro do arquivo RAR havia um arquivo autoextraível (SFX) contendo dois componentes principais:
- AuthFWSnapin.dll: módulo principal do Tornado versão 51
- reg7989.dll: instalador que verifica se o antivírus Avast não está presente, cria tarefa agendada para persistência e executa o DLL do Tornado
Após a instalação, a ameaça estabelece comunicação via HTTP com o servidor C2 para baixar a backdoor principal e coletar informações do sistema.
Se o Telegram for usado como canal de C2, o malware utiliza a API do bot para exfiltrar dados e receber novos comandos.
Vale destacar que a versão 50 do malware utilizava um grupo no Telegram chamado سرافراز (“sarafraz”, que significa “orgulho”), com o bot “@ttestro1bot” e um usuário identificado como “@ehsan8999100”.
Na versão mais recente, um usuário diferente, “@Ehsan66442”, substituiu o anterior.
Bar comenta: “O bot no grupo do Telegram continua sem permissão para ler mensagens do chat”.
Em 21 de dezembro, o usuário original foi adicionado a um novo canal chamado Test, com três inscritos.
O objetivo desse canal ainda é desconhecido, mas acredita-se que funcione como meio de comando e controle das máquinas infectadas.
A SafeBreach conseguiu extrair todas as mensagens do grupo privado no Telegram, acessando 118 arquivos e 14 links compartilhados, que continham comandos codificados enviados ao Tonnerre entre fevereiro de 2025 e o presente.
A análise revelou duas descobertas importantes:
- Um arquivo ZIP malicioso que instala o ZZ Stealer, infostealer personalizado derivado do StormKitty
- Uma “forte correlação” entre o ZZ Stealer e uma campanha que atacou o repositório PyPI do Python, utilizando um pacote chamado “testfiwldsd21233s” para distribuir uma versão anterior do ZZ Stealer e exfiltrar dados via API do Telegram
Além disso, há uma “correlação potencial mais fraca” entre Infy e outro grupo iraniano chamado Charming Kitten (ou Educated Manticore), devido ao uso semelhante de arquivos ZIP, atalhos do Windows (LNK) e técnicas de carregamento via PowerShell.
Segundo a SafeBreach, o ZZ Stealer atua como malware de primeira fase (semelhante ao Foudre), coletando dados ambientais, capturando screenshots e exfiltrando arquivos do desktop.
Ao receber o comando “8==3” do servidor C2, ele baixa e executa um segundo estágio também chamado “8==3” pelo grupo.
O caso do Infy revela a complexidade e sofisticação das operações cibernéticas patrocinadas pelo Estado iraniano, demonstrando capacidade de adaptação contínua para contornar restrições e ampliar seu alcance em campanhas de espionagem e infiltração digital.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...