Prince of Persia: choque con el destino (y hasta tu Excel). Los hackers más veteranos de Irán resurgen del olvido digita
El grupo cambia radicalmente sus tácticas y renueva su arsenal hasta volverlo irreconocible.
Tras casi cinco años de silencio el grupo iraní Infy, también conocida como Prince of Persia, volvió a llamar la atención. Los especialistas en seguridad de la empresa SafeBreach registraron una nueva campaña de esta veterana estructura de ciberespionaje, que desde 2004 ha realizado ataques en varios países, permaneciendo a la sombra de otros grupos iraníes.
La operación reciente afectó a víctimas en Irán, Irak, Turquía, India, Canadá y varios países europeos. Las herramientas principales del grupo siguieron siendo las mismas: los malware Foudre y Tonnerre. Foudre sirve para descargar y ejecutar a Tonnerre, además de recopilar información del sistema infectado. En la versión actualizada de Foudre con índice 34 los especialistas encontraron métodos de entrega mejorados: ahora el software malicioso se incrusta directamente en un archivo ejecutable adjunto a un documento de Microsoft Excel, lo que hace que el ataque sea menos perceptible.
También se modernizaron los mecanismos de comunicación con los servidores de mando. El programa usa un algoritmo de generación de nombres de dominio que complica el rastreo de los nodos de comando. Además, cada día Foudre consulta a un servidor remoto para obtener una firma digital cifrada, que descifra con una clave pública integrada, para asegurarse de que la conexión se realiza con el servidor "correcto". Este enfoque dificulta considerablemente la intercepción y falsificación del tráfico.
En los servidores utilizados para controlar los dispositivos infectados, los especialistas hallaron una estructura que contiene directorios con registros de actividad, archivos robados y datos clave para verificar la autenticidad del nodo de control. También se encontró un directorio "download", cuyo propósito aún no está claro, aunque se supone que podría usarse para descargar actualizaciones.
Llamó especialmente la atención una nueva función en las últimas versiones de Tonnerre: la comunicación a través del mensajero Telegram. El análisis reveló que el código malicioso puede conectarse a un grupo de Telegram llamado "Sarafraz" (palabra persa que significa "orgulloso"), compuesto por dos miembros: un bot, supuestamente diseñado para controlar el malware y recopilar datos, y un usuario con el alias @ehsan8999100. La información sobre este grupo se almacena en el servidor C2 en un archivo especial y solo está disponible para determinados sistemas infectados.
Durante el estudio de la infraestructura de Infy, los especialistas también identificaron muestras antiguas de malware que se usaron activamente entre 2017 y 2020. Entre ellas hay programas que se hacían pasar por aplicaciones de noticias, el troyano MaxPinner, que permite espiar la actividad en Telegram, y un malware hasta ahora desconocido llamado Rugissement.
A pesar del aparente silencio desde 2022, el grupo Infy no interrumpió su actividad, sino que se ocultó en un mayor secretismo. El análisis de la actividad de los últimos tres años muestra que el desarrollo de herramientas y los ataques continuaron, y que toda la infraestructura y el enfoque operativo se han perfeccionado notablemente.
En el contexto de este informe actualizado volvió a surgir la cuestión del cruce del ciberespionaje con estructuras estatales. Según filtraciones relacionadas con otro grupo iraní, Charming Kitten, queda claro que los mismos mecanismos administrativos operan bajo distintos alias de actores cibernéticos. Esta estructura gestiona tanto operaciones de phishing como ataques con ransomware, unificando todo bajo un único control y logística.