SOC Prime Bias: Crítico

16 Jan 2026 13:13 UTC

Prince of Persia APT Analysis: Infy, Foudre, and Tonnerre Malware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Prince of Persia APT Analysis: Infy, Foudre, and Tonnerre Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Prince of Persia (también rastreado como APT-C-07) es un actor de ciberespionaje alineado con Irán que se considera activo desde 2007. El grupo ha pasado por múltiples familias de malware propietario—Infy, Foudre, Tonnerre y MaxPinner—para vigilar organizaciones de medios, entidades políticas y objetivos de la sociedad civil. Las operaciones suelen mezclar spear-phishing con rutas oportunistas de infección y dependen de métodos de comando y control a medida, incluidos canales basados en bots de Telegram, para mantener el acceso y mover datos desde sistemas comprometidos.

Investigación

Unit 42 y otros equipos de investigación rastrearon la progresión de herramientas del actor desde la infraestructura Infy observada en 2016, hasta el regreso de la actividad Foudre en 2017 y una iteración de Tonnerre en 2025 que usa Telegram para comando y control. Los informes técnicos destacan la entrega a través de droppers de macros de Visual Basic, persistencia mediante la instalación de servicios de Windows, y el uso de lógica de generación de dominios para mantener una infraestructura resiliente. Los analistas también documentaron la funcionalidad a nivel de API nativa de Windows utilizada para el acceso a credenciales y comportamientos de vigilancia como captura de teclado, junto con patrones de ejecución que indican un refinamiento continuo de la táctica post-compromiso.

Mitigación

Aplique controles estrictos para macros de Office y refuerce la sanitización de adjuntos de correo electrónico para reducir oportunidades de ejecución inicial. Implemente controles de red para restringir o monitorear de cerca el tráfico de Telegram en entornos donde no se requiere para operaciones de negocio. En dispositivos finales, alerte sobre la creación sospechosa de servicios, rastree el uso de rundll32 consistente con cadenas de ejecución DLL, y bloquee nombres de archivos maliciosos conocidos y patrones de persistencia basados en el registro. Mantenga el contenido de detección actualizado para patrones de dominios cambiantes dinámicamente asociados con comportamientos similares a DGA y valide rutinariamente controles contra telemetría actual.

Respuesta

Si se detectan indicadores, aísle el sistema afectado, capture artefactos volátiles, y busque los nombres de servicio específicos y las entradas del registro utilizadas para persistencia. Expanda el triaje a la creación de tareas programadas, actividad anómala de carga de DLL y cualquier evidencia de comunicaciones C2 basadas en Telegram. Elimine servicios maliciosos y archivos en etapa usando manuales de remediación verificados, luego rote credenciales potencialmente expuestas y monitoree de cerca para intentos de reingreso o reinfección en hosts adyacentes.

Flujo de ataque

Ejecución de Simulación

Prerrequisito: La Verificación de Telemetría y Línea de Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    El adversario simulado imita el comportamiento del malware Infy creando tres ejecutables ficticios cuyos nombres de archivo corresponden a las llamadas API que la regla observa. Usando Copy-Item, duplicamos notepad.exe (un binario benigno ya presente) al directorio temporal y lo renombramos para que coincida con cada llamada a la API. El atacante luego ejecuta cada binario ficticio, produciendo eventos de creación de procesos de Sysmon con Imagen valores terminando en GetFileAttributesA.exe, GetMessageA.exe, y DispatchMessageA.exe. Debido a que la condición de la regla es selección1 o selección2 en el Imagen campo, cada lanzamiento satisface la regla y genera una alerta.

  • Guión de Prueba de Regresión:

    # -------------------------------------------------
    # Guión de Simulación – Prueba de Detección de Llamadas de API de Infy
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
    
    # Ayudante: copia notepad.exe a un nuevo nombre
    function Copy-And-Run {
        param (
            [string]$newName
        )
        $src = "$env:SystemRootSystem32notepad.exe"
        $dst = Join-Path $tempDir $newName
        Copy-Item -Path $src -Destination $dst -Force
        Write-Host "Created $dst"
        Start-Process -FilePath $dst -WindowStyle Hidden
    }
    
    # Crear y ejecutar binarios ficticios que coincidan con los nombres de API
    Copy-And-Run -newName "GetFileAttributesA.exe"
    Copy-And-Run -newName "GetMessageA.exe"
    Copy-And-Run -newName "DispatchMessageA.exe"
    
    Write-Host "Simulation complete. Check SIEM for alerts."
  • Comandos de Limpieza:

    # -------------------------------------------------
    # Guion de Limpieza – Eliminar binarios simulados
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    
    # Detener cualquier proceso ficticio restante
    Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Eliminar el directorio temporal y su contenido
    Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Cleanup complete."