El esquivo grupo de amenazas iraní conocido como Infy (también llamado Prince of Persia) ha evolucionado sus tácticas para ocultar sus huellas, mientras preparaba nueva infraestructura de comando y control (C2) coincidiendo con el fin del apagón generalizado de Internet que el régimen impuso a principios de enero de 2026.
“El actor de amenazas dejó de mantener sus servidores C2 el 8 de enero por primera vez desde que comenzamos a monitorear sus actividades”, dijo Tomer Bar, vicepresidente de investigación de seguridad en SafeBreach, en un informe compartido con The Hacker News. “Ese fue el mismo día en que las autoridades iraníes impusieron un apagón de Internet en todo el país en respuesta a protestas recientes, lo que probablemente sugiere que incluso las unidades cibernéticas afiliadas al gobierno no tenían la capacidad o motivación para llevar a cabo actividades maliciosas dentro de Irán”.
La compañía de ciberseguridad dijo que observó una actividad renovada el 26 de enero de 2026, cuando el grupo de hackers estableció nuevos servidores C2, un día antes de que el gobierno iraní relajara las restricciones de Internet en el país. El desarrollo es significativo, no solo porque ofrece evidencia concreta de que el adversario está patrocinado por el estado y respaldado por Irán.
Infy es solo uno de los muchos grupos de hackers patrocinados por el estado que operan desde Irán y que llevan a cabo espionaje, sabotaje y operaciones de influencia alineadas con los intereses estratégicos de Teherán. Pero también es uno de los grupos más antiguos y menos conocidos que ha logrado mantenerse bajo el radar, sin llamar la atención y operando silenciosamente desde 2004 a través de ataques “enfocados con láser” dirigidos a individuos para la recopilación de inteligencia.
En un informe publicado en diciembre de 2025, SafeBreach reveló nuevas técnicas asociadas con el actor de amenazas, incluido el uso de versiones actualizadas de Foudre y Tonnerre, con este último empleando un bot de Telegram probablemente para emitir comandos y recopilar datos. La última versión de Tonnerre (versión 50) ha sido renombrada como Tornado.
La visibilidad continua de las operaciones del actor de amenazas entre el 19 de diciembre de 2025 y el 3 de febrero de 2026 ha revelado que los atacantes han reemplazado la infraestructura C2 para todas las versiones de Foudre y Tonnerre, junto con la introducción de Tornado versión 51 que utiliza tanto HTTP como Telegram para C2.
“Utiliza dos métodos diferentes para generar nombres de dominio C2: primero, un nuevo algoritmo DGA y luego nombres fijos utilizando desofuscación de datos de blockchain”, dijo Bar. “Este es un enfoque único que asumimos que se utiliza para proporcionar una mayor flexibilidad en el registro de nombres de dominio C2 sin necesidad de actualizar la versión de Tornado”.
También hay indicios de que Infy ha utilizado una vulnerabilidad de seguridad de 1 día en WinRAR (ya sea CVE-2025-8088 o CVE-2025-6218) para extraer la carga útil de Tornado en un host comprometido. El cambio en el vector de ataque se considera una forma de aumentar la tasa de éxito de sus campañas. Los archivos RAR especialmente diseñados se cargaron en la plataforma VirusTotal desde Alemania e India a mediados de diciembre de 2025, lo que sugiere que esos dos países pueden haber sido objetivo.
Dentro del archivo RAR hay un archivo autoextraíble (SFX) que contiene dos archivos:
- AuthFWSnapin.dll, la DLL principal de Tornado versión 51
- reg7989.dll, un instalador que primero verifica si el software antivirus Avast no está instalado, y si es así, crea una tarea programada para persistencia y ejecuta la DLL de Tornado
Tornado establece comunicación con el servidor C2 a través de HTTP para descargar y ejecutar la puerta trasera principal y recolectar información del sistema. Si se elige Telegram como método C2, Tornado utiliza la API del bot para exfiltrar datos del sistema y recibir más comandos.
Vale la pena señalar que la versión 50 del malware utilizaba un grupo de Telegram llamado سرافراز (literalmente se traduce como “sarafraz”, que significa orgullosamente) que presentaba el bot de Telegram “@ttestro1bot” y un usuario con el handle “@ehsan8999100”. En la última versión, se ha agregado un usuario diferente llamado “@Ehsan66442” en lugar del último.
“Como antes, el miembro bot del grupo de Telegram todavía no tiene permisos para leer los mensajes de chat del grupo”, dijo Bar. “El 21 de diciembre, el usuario original @ehsan8999100 fue agregado a un nuevo canal de Telegram llamado Test que tenía tres suscriptores. El objetivo de este canal aún se desconoce, pero asumimos que se utiliza para el comando y control de las máquinas de las víctimas”.
SafeBreach dijo que logró extraer todos los mensajes dentro del grupo privado de Telegram, lo que permitió acceder a todos los archivos exfiltrados de Foudre y Tonnerre desde el 16 de febrero de 2025, incluidos 118 archivos y 14 enlaces compartidos que contienen comandos codificados enviados a Tonnerre por el actor de amenazas. Un análisis de estos datos ha llevado a dos descubrimientos cruciales:
- Un archivo ZIP malicioso que descarga ZZ Stealer, que carga una variante personalizada del infostealer StormKitty
- Una “correlación muy fuerte” entre la cadena de ataque de ZZ Stealer y una campaña dirigida al repositorio de Python Package Index (PyPI) con un paquete llamado “testfiwldsd21233s” diseñado para descargar una iteración anterior de ZZ Stealer y exfiltrar los datos a través de la API del bot de Telegram
- Una “correlación potencial más débil” entre Infy y Charming Kitten (también conocido como Educated Manticore) debido al uso de archivos ZIP y Windows Shortcut (LNK), y una técnica de cargador de PowerShell
“ZZ Stealer parece ser un malware de primera etapa (como Foudre) que primero recopila datos del entorno, capturas de pantalla y exfiltra todos los archivos del escritorio”, explicó SafeBreach. “Además, al recibir el comando ‘8==3’ del servidor C2, descargará y ejecutará el malware de segunda etapa también nombrado por el actor de amenazas como ‘8==3’”.
