Pesquisadores de ameaças identificaram novas atividades ligadas a um grupo iraniano conhecido como Infy (também chamado Prince of Persia), quase cinco anos após o último registro de ataques direcionados a alvos na Suécia, Holanda e Turquia.
Segundo Tomer Bar, vice-presidente de pesquisa de segurança da SafeBreach, em análise técnica compartilhada com o The Hacker News, “a dimensão das operações do Prince of Persia é maior do que imaginávamos inicialmente.
Esse grupo ainda está ativo, relevante e representa um perigo significativo”.
Infy é uma das ameaças persistentes avançadas (APT) mais antigas em operação, com vestígios de ações desde dezembro de 2004.
A informação consta no relatório de maio de 2016 da Palo Alto Networks Unit 42, assinado por Tomer Bar e o pesquisador Simon Conant.
Apesar do longo histórico, Infy mantém-se discreto, recebendo muito menos atenção do que outros grupos iranianos, como Charming Kitten, MuddyWater e OilRig.
Entre as ferramentas usadas pelo grupo, destacam-se duas famílias de malware: o downloader e coletor de perfis chamado Foudre, que implanta um segundo estágio denominado Tonnerre para extrair informações de sistemas de alto valor.
Acredita-se que o Foudre seja distribuído principalmente por campanhas de phishing via e-mail.
As investigações mais recentes da SafeBreach revelaram uma campanha oculta em países como Irã, Iraque, Turquia, Índia, Canadá e várias regiões da Europa.
Nessas ações, utilizam versões atualizadas do Foudre (versão 34) e do Tonnerre (versões 12 a 18 e 50), sendo a mais recente do Tonnerre detectada em setembro de 2025.
Observou-se também uma mudança na cadeia de ataque: inicialmente, documentos do Microsoft Excel continham macros maliciosas; agora, incorporam um executável para instalar o Foudre.
Um elemento marcante na estratégia do grupo é o uso de um algoritmo de geração de domínios (DGA), que torna a infraestrutura de comando e controle (C2) mais resistente a bloqueios.
Além disso, os malwares Foudre e Tonnerre verificam se o domínio C2 é legítimo baixando um arquivo de assinatura RSA, que é decodificado com uma chave pública e comparado a um arquivo local de validação.
A análise da infraestrutura revelou a existência de um diretório chamado “key”, usado para essa validação, além de pastas para logs de comunicação e arquivos exfiltrados.
Bar explica que “diariamente, o Foudre baixa um arquivo dedicado de assinatura, criptografado com uma chave privada RSA pelo grupo, e usa a verificação RSA com uma chave pública embutida para confirmar se o domínio é autorizado”.
O formato da requisição é:
`https://<nome do domínio>/key/<nome do domínio><ano><dia do ano>.sig`.
No servidor C2, há também um diretório chamado “download”, cuja função atual é desconhecida, mas acredita-se que sirva para obter atualizações do malware.
A versão mais recente do Tonnerre possui um mecanismo para se comunicar com um grupo no Telegram chamado "سرافراز" (que significa “orgulho” em persa).
O grupo tem dois membros: um bot (@ttestro1bot), provavelmente usado para enviar comandos e coletar dados, e um usuário identificado como @ehsan8999100.
A integração do Telegram no C2 é armazenada em um arquivo chamado “tga.adr”, no diretório “t” do servidor, cujo download é autorizado apenas para identificadores específicos de vítimas (GUIDs).
A SafeBreach também identificou variantes mais antigas usadas entre 2017 e 2020, incluindo:
- Uma versão do Foudre disfarçada como o Amaq News Finder para facilitar a instalação do malware;
- Um trojan chamado MaxPinner, baixado pela versão 24 do Foudre DLL, para espionar o conteúdo do Telegram;
- Uma variante denominada Deep Freeze, semelhante ao Amaq News Finder, usada para infectar vítimas com o Foudre;
- Um malware desconhecido chamado Rugissement.
Embora o grupo tenha dado a impressão de desaparecer em 2022, a SafeBreach destaca que “na verdade, o Prince of Persia manteve suas operações, e nossa pesquisa contínua revelou detalhes cruciais sobre suas atividades, servidores C2 e variantes de malware usadas nos últimos três anos”.
Essa revelação ocorre num momento em que análises da DomainTools sobre o Charming Kitten indicam que o grupo atua como uma organização governamental, conduzindo operações de espionagem com precisão burocrática.
A empresa também relacionou o ator à identidade Moses Staff.
“O APT 35, responsável pelas campanhas de phishing para roubo de credenciais em Teerã, também gerenciava a logística por trás do ransomware lançado pelo Moses Staff”, afirmou a empresa.
“Hacktivistas autodeclarados e essa unidade cibernética governamental compartilham não apenas ferramentas e alvos, mas até o mesmo sistema financeiro interno.
O braço de propaganda e o de espionagem são, na verdade, ‘projetos’ diferentes de um único fluxo de trabalho”.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...