El escurridizo grupo de amenaza iraní conocido como infy (también conocido como Príncipe de Persia) ha evolucionado sus tácticas como parte de los esfuerzos por ocultar sus huellas, incluso cuando preparó una nueva infraestructura de comando y control (C2) que coincidió con el fin del apagón generalizado de Internet que el régimen impuso a principios de enero de 2026.
«El actor de amenazas dejó de mantener sus servidores C2 el 8 de enero por primera vez desde que comenzamos a monitorear sus actividades», dijo Tomer Bar, vicepresidente de investigación de seguridad de SafeBreach, en un informe compartido con The Hacker News.
«Este fue el mismo día en que las autoridades iraníes impusieron un cierre de Internet en todo el país en respuesta a las recientes protestas, lo que probablemente sugiere que incluso las unidades cibernéticas afiliadas al gobierno no tenían la capacidad o la motivación para llevar a cabo actividades maliciosas dentro de Irán».
La empresa de ciberseguridad dijo que observó una actividad renovada el 26 de enero de 2026, cuando el equipo de hackers instaló nuevos servidores C2, un día antes de que el gobierno iraní relajara las restricciones de Internet dentro del país. El acontecimiento es significativo, sobre todo porque ofrece pruebas concretas de que el adversario está patrocinado y respaldado por el Estado de Irán.
Infy es solo uno de los muchos grupos de piratería patrocinados por el Estado que operan desde Irán y llevan a cabo operaciones de espionaje, sabotaje e influencia alineadas con los intereses estratégicos de Teherán. Pero también es uno de los grupos más antiguos y menos conocidos que ha logrado pasar desapercibido, sin llamar la atención y operando silenciosamente desde 2004 mediante ataques «centrados con láser» dirigidos a individuos para recopilar información de inteligencia.
En un informe publicado en diciembre de 2025, SafeBreach reveló nuevas técnicas asociadas con el actor de amenazas, incluido el uso de versiones actualizadas de Foudre y Tonnerre; este último emplea un bot de Telegram probablemente para emitir comandos y recopilar datos. La última versión de Tonnerre (versión 50) lleva el nombre en código Tornado.
La visibilidad continua de las operaciones del actor de amenazas entre el 19 de diciembre de 2025 y el 3 de febrero de 2026 ha revelado que los atacantes han dado el paso de reemplazar la infraestructura C2 para todas las versiones de Foudre y Tonnerre, además de introducir la versión 51 de Tornado que utiliza HTTP y Telegram para C2.
«Utiliza dos métodos diferentes para generar nombres de dominio C2: primero, un nuevo algoritmo DGA y luego nombres fijos utilizando la desofuscación de datos de blockchain», dijo Bar. «Este es un enfoque único que suponemos que se está utilizando para brindar mayor flexibilidad en el registro de nombres de dominio C2 sin la necesidad de actualizar la versión Tornado».
También hay indicios de que Infy ha utilizado como arma una falla de seguridad de 1 día en WinRAR (ya sea CVE-2025-8088 o CVE-2025-6218) para extraer la carga útil de Tornado en un host comprometido. El cambio de vector de ataque se ve como una forma de aumentar la tasa de éxito de sus campañas. Los archivos RAR especialmente diseñados se cargaron en la plataforma VirusTotal desde Alemania e India a mediados de diciembre de 2025, lo que sugiere que ambos países pueden haber sido el objetivo.
Dentro del archivo RAR hay un archivo autoextraíble (SFX) que contiene dos archivos:
- AuthFWSnapin.dll, la DLL principal de Tornado versión 51
- reg7989.dll, un instalador que primero verifica si el software antivirus Avast no está instalado y, en caso afirmativo, crea una tarea programada para la persistencia y ejecuta la DLL Tornado.
Tornado establece comunicación con el servidor C2 a través de HTTP para descargar y ejecutar la puerta trasera principal y recopilar información del sistema. Si se elige Telegram como método C2, Tornado utiliza la API del bot para filtrar datos del sistema y recibir más comandos.
Vale la pena señalar que la versión 50 del malware utilizó un grupo de Telegram llamado سرافراز (que se traduce literalmente como «sarafraz», que significa orgullo) que presentaba el bot de Telegram «@ttestro1bot» y un usuario con el identificador «@ehsan8999100». En la última versión, se agregó un usuario diferente llamado «@Ehsan66442» en lugar de este último.
«Como antes, el miembro bot del grupo Telegram todavía no tiene permisos para leer los mensajes de chat del grupo», dijo Bar. «El 21 de diciembre, el usuario original @ehsan8999100 fue agregado a un nuevo canal de Telegram llamado Test que tenía tres suscriptores. El objetivo de este canal aún se desconoce, pero suponemos que se utiliza para comandar y controlar las máquinas de la víctima».
SafeBreach dijo que logró extraer todos los mensajes dentro del grupo privado de Telegram, lo que permitió el acceso a todos los archivos exfiltrados de Foudre y Tonnerre desde el 16 de febrero de 2025, incluidos 118 archivos y 14 enlaces compartidos que contienen comandos codificados enviados a Tonnerre por el actor de amenazas. Un análisis de estos datos ha llevado a dos descubrimientos cruciales:
- Un archivo ZIP malicioso que elimina ZZ Stealer, que carga una variante personalizada del infostealer StormKitty
- Una «correlación muy fuerte» entre la cadena de ataque de ZZ Stealer y una campaña dirigida al repositorio Python Package Index (PyPI) con un paquete llamado «testfiwldsd21233s» que está diseñado para eliminar una iteración anterior de ZZ Stealer y filtrar los datos a través de la API del bot de Telegram.
- Una «correlación potencial más débil» entre Infy y Charming Kitten (también conocido como Educated Manticore) debido al uso de archivos ZIP y de acceso directo de Windows (LNK), y una técnica de carga de PowerShell.
«ZZ Stealer parece ser un malware de primera etapa (como Foudre) que primero recopila datos ambientales, capturas de pantalla y extrae todos los archivos del escritorio», explicó SafeBreach. «Además, al recibir el comando ‘8==3’ del servidor C2, descargará y ejecutará el malware de segunda etapa también denominado por el actor de amenazas como ‘8==3′».