Infy (Prince of Persia): reaparece APT iraní con nueva actividad maliciosa tras casi cinco años

diciembre 21, 2025

Infy (Prince of Persia): reaparece APT iraní con nueva actividad maliciosa tras casi cinco años

Resumen de la reapertura

Investigadores en caza de amenazas han detectado nueva actividad atribuida a un actor vinculado a Irán conocido como Infy, también denominado Prince of Persia, casi cinco años después de que el grupo fuese observado operando contra víctimas en Suecia, Países Bajos y Turquía. La reaparición fue señalada por analistas de SafeBreach y otros cazadores de amenazas que han identificado señales de infección y comportamiento consistente con operaciones avanzadas de intrusión y control remoto.

«The scale of Prince of Persia’s activity is more significant than we originally anticipated,» dijo Tomer Bar, vicepresidente de investigación de seguridad en SafeBreach.

Antecedentes y contexto: por qué importa

Infy/Prince of Persia no es el único grupo atribuido a Irán, pero su actividad es representativa de una tendencia mayor: actores estatales o patrocinados por estados que alternan periodos de actividad intensa con largos periodos de latencia para renovar herramientas, tácticas y objetivos. Desde la primera oleada de intrusiones documentadas en Europa y Oriente Medio hace años, grupos iraníes han sido vinculados con campañas de espionaje contra organismos gubernamentales, empresas de energía, telecomunicaciones y sectores estratégicos.

La detección de nuevas herramientas o campañas tras años de silencio a menudo señala una actualización de capacidades y un posible cambio de objetivos. Para organizaciones en Suecia, Países Bajos, Turquía y más ampliamente en Europa y regiones vecinas, la reaparición de Infy implica revisar supuestos de riesgo, priorizar monitoreo y reforzar mecanismos de detección ante técnicas renovadas.

Análisis técnico y comentario experto para practicantes

Aunque los detalles técnicos completos de las nuevas muestras y de la telemetría asociada aún se están compilando por los equipos de respuesta, hay observaciones generales útiles para equipos de seguridad:

  • Patrón de reactivación: actores avanzados suelen reutilizar infraestructuras benignas o plataformas comprometidas para alojar C2 (comando y control) y desplegar cargas útiles, dificultando la atribución.
  • Modularidad del malware: es frecuente que grupos que vuelven tras largos periodos introduzcan malware modular que permita funciones de reconocimiento, persistencia y exfiltración sin necesitar reescrituras completas.
  • Mantener telemetría relevante: EDR/NGAV y logs de red enriquecidos (DNS, proxy, TLS SNI, flujos de red) son críticos para detectar conexiones inusuales a dominios de C2 o patrones de beaconing con baja tasa de transferencia.

Recomendaciones prácticas para equipos de SOC y respuesta a incidentes:

  • Priorizar la recolección y conservación de logs de endpoint y red al menos 90 días, idealmente 12 meses, para permitir retro-hunting de actividad latente.
  • Crear reglas de detección centradas en: anomalías DNS (p.ej., dominios de baja reputación, TLDs inusuales), picos de tráfico saliente a destinos poco habituales y procesos hijos en procesos de sistema críticos.
  • Aplicar análisis lateral: validar autenticaciones inusuales, conexiones RDP/SMB fuera de horario o de ubicaciones no coincidentes con la operación normal de la organización.
  • Actualizar y aplicar firmas YARA y reglas Sigma basadas en IOCs compartidos por proveedores de inteligencia y la comunidad, y testarlas en entornos de staging antes de desplegar en producción.

Casos comparables y panorama sectorial

En los últimos años la comunidad de ciberseguridad ha observado distintos ejemplos de actores con comportamiento similar:

  • Grupos atribuidos a Irán como APT34 (OilRig) y APT35 (conocido como Charming Kitten) han llevado a cabo campañas prolongadas de espionaje y spear-phishing dirigidas a entidades gubernamentales y del sector privado en múltiples países. Estos casos demuestran una persistencia operativa y capacidad para adaptar herramientas.
  • Otros actores estatales también han recurrido a periodos de latencia y actualización de herramientas antes de reanudar operaciones, una táctica que dificulta la detección basada únicamente en IOCs estáticos.

De forma más general, organismos como ENISA y múltiples empresas de seguridad han informado de un aumento sostenido en la sofisticación de campañas de APT a nivel global, con mayor uso de técnicas de evasión y de infraestructura de terceros para ocultar operaciones.

Riesgos, implicaciones y recomendaciones accionables

Riesgos e implicaciones principales:

  • Espionaje y exfiltración de información sensible o intelectual que pueda tener impacto regulatorio, comercial o en seguridad nacional.
  • Compromiso de cadenas de suministro y terceros proveedores que actúen como vectores para movimientos laterales hacia víctimas finales.
  • Interrupciones operativas derivadas de intrusiones no detectadas que degeneren en ataques secundarios o pérdida de disponibilidad.

Recomendaciones operativas inmediatas (lista priorizada):

  • Inventario y priorización: mantener un inventario actualizado de activos críticos y priorizar parches y controles en aquellos sistemas que almacenan datos sensibles o forman parte de la infraestructura crítica.
  • Defensa en profundidad: aplicar segmentación de red, control de acceso por rol, políticas de privilegio mínimo y MFA en accesos externos y administrativos.
  • Monitorización y detección: desplegar o afinar reglas para detección de beaconing, transferencia de datos fuera de horario, y ejecución remota de comandos en endpoints.
  • Respuesta y ejercicios: preparar playbooks de respuesta que incluyan contención de C2, aislamiento de hosts comprometidos, y procedimientos de notificación a socios y reguladores según corresponda.
  • Compartición de inteligencia: participar en iniciativas de intercambio de IOCs y TTPs (por ejemplo ISACs sectoriales) y considerar el uso de feeds de inteligencia reputados para enriquecer detecciones.
  • Revisiones a proveedores: evaluar riesgos en la cadena de suministro y aplicar controles de seguridad y auditorías a proveedores con acceso a entornos sensibles.

Conclusión

La reapertura de actividad atribuida a Infy/Prince of Persia subraya la naturaleza recurrente y adaptativa de actores avanzados: periodos de latencia no implican ausencia de riesgo. Para organizaciones en Europa y regiones con historial de exposición, la prioridad debe ser reforzar detección basada en telemetría, aplicar principios de mínimo privilegio y segmentación, y coordinar la compartición de inteligencia. La prevención y la capacidad de respuesta son complementarias: detectar temprano y contener rápidamente sigue siendo la mejor defensa contra campañas que evolucionan en duración y sofisticación.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

ChatGPT añade «formatting blocks» para adaptar su interfaz a tareas específicas
Noticias Ciberseguridad
MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper
Noticias Ciberseguridad
Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios
Noticias Ciberseguridad
Revisiting CVE-2025-50165: fallo crítico en Windows Imaging Component y su alcance real
Noticias Ciberseguridad