23 de diciembre de 2025

El APT iraní Infy reaparece con campañas de ciberespionaje avanzadas

El APT iraní Infy reaparece con campañas de ciberespionaje avanzadas

El grupo APT iraní Infy, también conocido como Prince of Persia, volvió a mostrar actividad sostenida tras un período de bajo perfil. Investigadores de SafeBreach Labs identificaron campañas activas entre agosto y diciembre de 2025, orientadas al espionaje cibernético contra objetivos de alto valor, mediante variantes actualizadas de malware como Foudre y Tonnerre.

La reaparición confirma la persistencia y continuidad de actores estatales iraníes en operaciones de inteligencia digital, con un alcance geográfico y técnico mayor al observado en años previos.

Detalles técnicos de la campaña

Las infecciones comienzan con correos de spear-phishing que contienen documentos Excel maliciosos con ejecutables embebidos, marcando un cambio respecto de técnicas históricas basadas en macros. Esta evolución reduce la fricción para la víctima y dificulta la detección por controles tradicionales.

Entre las capacidades observadas se destacan:

  • Validación criptográfica de servidores C2, para asegurar comunicaciones solo con infraestructura legítima del atacante.

  • Canales de comunicación flexibles vía Telegram, que aportan resiliencia operativa y mejor sigilo.

  • Tonnerre como implante de segunda etapa, diseñado para persistencia a largo plazo y exfiltración selectiva de información sensible. Se identificaron muestras activas al menos hasta septiembre de 2025.

Objetivos y alcance geográfico

Las víctimas incluyen entidades gubernamentales, disidentes políticos e infraestructuras críticas en Irán, Irak, Turquía, India, Canadá y varios países europeos. Este patrón amplía el foco histórico del grupo —tradicionalmente centrado en Oriente Medio— hacia Norteamérica y Asia del Sur.

Activo desde al menos 2004, Infy prioriza la inteligencia política y estratégica por sobre el beneficio económico, alineándose con intereses estatales iraníes. La adopción de TTPs más maduras, como evasión de detección y flujos dinámicos de comando y control, refleja un claro aumento en sofisticación operativa.

Implicaciones y mitigaciones

La campaña desafía la percepción de inactividad de APTs iraníes posterior a 2022 y eleva el nivel de riesgo para sectores críticos. Para reducir la superficie de ataque, se recomienda:

  • Implementar filtros anti-phishing avanzados y análisis profundo de archivos Office.

  • Monitorear tráfico y abuso de canales C2 sobre plataformas de mensajería.

  • Fortalecer detección de persistencia y análisis de comportamiento.

  • Reforzar capacitación en ingeniería social para usuarios finales.

En Latinoamérica, patrones similares podrían impactar organizaciones vinculadas a infraestructuras estratégicas y contextos geopolíticos sensibles, por lo que la preparación preventiva resulta clave.

Fuente: https://www.rescana.com/post/iranian-infy-prince-of-persia-apt-returns-new-microsoft-windows-and-office-malware-campaigns-expl
← Anterior Operaciones de malware en Android combin...
Siguiente → DOJ acusa a 54 personas por “ATM jackpot...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Operaciones de malware en Android combinan droppers, robo de SMS y capacidades RAT a gran escala
DOJ acusa a 54 personas por “ATM jackpotting” con malware Ploutus
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio