El APT iraní Infy reaparece con campañas de ciberespionaje avanzadas

El grupo APT iraní Infy, también conocido como Prince of Persia, volvió a mostrar actividad sostenida tras un período de bajo perfil. Investigadores de SafeBreach Labs identificaron campañas activas entre agosto y diciembre de 2025, orientadas al espionaje cibernético contra objetivos de alto valor, mediante variantes actualizadas de malware como Foudre y Tonnerre.

La reaparición confirma la persistencia y continuidad de actores estatales iraníes en operaciones de inteligencia digital, con un alcance geográfico y técnico mayor al observado en años previos.

Detalles técnicos de la campaña

Las infecciones comienzan con correos de spear-phishing que contienen documentos Excel maliciosos con ejecutables embebidos, marcando un cambio respecto de técnicas históricas basadas en macros. Esta evolución reduce la fricción para la víctima y dificulta la detección por controles tradicionales.

Entre las capacidades observadas se destacan:

• Validación criptográfica de servidores C2, para asegurar comunicaciones solo con infraestructura legítima del atacante.

• Canales de comunicación flexibles vía Telegram, que aportan resiliencia operativa y mejor sigilo.

• Tonnerre como implante de segunda etapa, diseñado para persistencia a largo plazo y exfiltración selectiva de información sensible. Se identificaron muestras activas al menos hasta septiembre de 2025.

Objetivos y alcance geográfico

Las víctimas incluyen entidades gubernamentales, disidentes políticos e infraestructuras críticas en Irán, Irak, Turquía, India, Canadá y varios países europeos. Este patrón amplía el foco histórico del grupo —tradicionalmente centrado en Oriente Medio— hacia Norteamérica y Asia del Sur.

Activo desde al menos 2004, Infy prioriza la inteligencia política y estratégica por sobre el beneficio económico, alineándose con intereses estatales iraníes. La adopción de TTPs más maduras, como evasión de detección y flujos dinámicos de comando y control, refleja un claro aumento en sofisticación operativa.

Implicaciones y mitigaciones

La campaña desafía la percepción de inactividad de APTs iraníes posterior a 2022 y eleva el nivel de riesgo para sectores críticos. Para reducir la superficie de ataque, se recomienda:

• Implementar filtros anti-phishing avanzados y análisis profundo de archivos Office.

• Monitorear tráfico y abuso de canales C2 sobre plataformas de mensajería.

• Fortalecer detección de persistencia y análisis de comportamiento.

• Reforzar capacitación en ingeniería social para usuarios finales.

En Latinoamérica, patrones similares podrían impactar organizaciones vinculadas a infraestructuras estratégicas y contextos geopolíticos sensibles, por lo que la preparación preventiva resulta clave.