Pesquisadores de segurança cibernética identificaram novas atividades do grupo de ameaças iraniano conhecido como Infy, também chamado de Príncipe da Pérsia, após quase cinco anos de silêncio. Este grupo, um dos mais antigos atores de ameaças persistentes avançadas (APT), foi observado anteriormente atacando alvos na Suécia, Países Baixos e Turquia.
O Infy tem utilizado duas variantes de malware: Foudre, um downloader e perfilador de vítimas, e Tonnerre, um implante de segunda fase para extração de dados. A SafeBreach revelou que o Foudre é distribuído por meio de e-mails de phishing. As campanhas recentes do grupo visaram alvos no Irã, Iraque, Turquia, Índia, Canadá e Europa, utilizando versões atualizadas desses malwares.
Uma característica notável das operações do Infy é o uso de um algoritmo de geração de domínios (DGA) para fortalecer sua infraestrutura de comando e controle (C2). Além disso, os malwares Foudre e Tonnerre verificam a autenticidade do domínio C2 baixando um arquivo de assinatura RSA, que é então decifrado e comparado com um arquivo de validação local.
O servidor C2 contém um diretório chamado “key” para validação C2 e um diretório “download” cuja função ainda é incerta. A versão mais recente do Tonnerre inclui um mecanismo para se conectar a um grupo no Telegram, usado para emitir comandos e coletar dados. Informações sobre este grupo são armazenadas em um arquivo específico no servidor C2.
Apesar de parecer inativo desde 2022, o Infy continuou suas operações, conforme indicado por variantes de malware usadas entre 2017 e 2020. Isso inclui versões do Foudre disfarçadas como ferramentas legítimas para executar malwares e um trojan chamado MaxPinner para espionar conteúdos do Telegram.
Fonte:https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html
