Prince of Persia APT Analysis: Infy, Foudre, and Tonnerre Malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Prince of Persia (también rastreado como APT-C-07) es un actor de ciberespionaje alineado con Irán que se considera activo desde 2007. El grupo ha pasado por múltiples familias de malware propietario—Infy, Foudre, Tonnerre y MaxPinner—para vigilar organizaciones de medios, entidades políticas y objetivos de la sociedad civil. Las operaciones suelen mezclar spear-phishing con rutas oportunistas de infección y dependen de métodos de comando y control a medida, incluidos canales basados en bots de Telegram, para mantener el acceso y mover datos desde sistemas comprometidos.
Investigación
Unit 42 y otros equipos de investigación rastrearon la progresión de herramientas del actor desde la infraestructura Infy observada en 2016, hasta el regreso de la actividad Foudre en 2017 y una iteración de Tonnerre en 2025 que usa Telegram para comando y control. Los informes técnicos destacan la entrega a través de droppers de macros de Visual Basic, persistencia mediante la instalación de servicios de Windows, y el uso de lógica de generación de dominios para mantener una infraestructura resiliente. Los analistas también documentaron la funcionalidad a nivel de API nativa de Windows utilizada para el acceso a credenciales y comportamientos de vigilancia como captura de teclado, junto con patrones de ejecución que indican un refinamiento continuo de la táctica post-compromiso.
Mitigación
Aplique controles estrictos para macros de Office y refuerce la sanitización de adjuntos de correo electrónico para reducir oportunidades de ejecución inicial. Implemente controles de red para restringir o monitorear de cerca el tráfico de Telegram en entornos donde no se requiere para operaciones de negocio. En dispositivos finales, alerte sobre la creación sospechosa de servicios, rastree el uso de rundll32 consistente con cadenas de ejecución DLL, y bloquee nombres de archivos maliciosos conocidos y patrones de persistencia basados en el registro. Mantenga el contenido de detección actualizado para patrones de dominios cambiantes dinámicamente asociados con comportamientos similares a DGA y valide rutinariamente controles contra telemetría actual.
Respuesta
Si se detectan indicadores, aísle el sistema afectado, capture artefactos volátiles, y busque los nombres de servicio específicos y las entradas del registro utilizadas para persistencia. Expanda el triaje a la creación de tareas programadas, actividad anómala de carga de DLL y cualquier evidencia de comunicaciones C2 basadas en Telegram. Elimine servicios maliciosos y archivos en etapa usando manuales de remediación verificados, luego rote credenciales potencialmente expuestas y monitoree de cerca para intentos de reingreso o reinfección en hosts adyacentes.
Flujo de ataque
Detecciones
Ejecución Sospechosa de Taskkill (vía cmdline)
Ver
Línea de Comando Sospechosa Contiene Nombre del Navegador como Argumento (vía cmdline)
Ver
Posible Operación Manual o de Scripting Realizada en Carpetas Inusuales (vía cmdline)
Ver
Posible Uso de Lame para Grabar Sonido (vía cmdline)
Ver
Posible Abuso de Telegram como Canal de Comando y Control (vía dns_query)
Ver
Llamada a Funciones Sospechosas de la API de Windows desde Powershell (vía powershell)
Ver
Posible Archivo Autoextraíble Creado (vía file_event)
Ver
IOCs (Correos Electrónicos) para detectar: Análisis APT Prince of Persia: Malware Infy, Foudre y Tonnerre
Ver
Ejecución y Evasión del Malware Foudre Prince of Persia [Creación de Procesos de Windows]
Ver
Detección de Malware Tonnerre Usando Bot de Telegram y Generación de Dominios Dinámicos [Conexión de Red de Windows]
Ver
Detección de Llamada API de Malware Infy [Sysmon de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación de Telemetría y Línea de Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
El adversario simulado imita el comportamiento del malware Infy creando tres ejecutables ficticios cuyos nombres de archivo corresponden a las llamadas API que la regla observa. UsandoCopy-Item, duplicamosnotepad.exe(un binario benigno ya presente) al directorio temporal y lo renombramos para que coincida con cada llamada a la API. El atacante luego ejecuta cada binario ficticio, produciendo eventos de creación de procesos de Sysmon conImagenvalores terminando enGetFileAttributesA.exe,GetMessageA.exe, yDispatchMessageA.exe. Debido a que la condición de la regla esselección1 o selección2en elImagencampo, cada lanzamiento satisface la regla y genera una alerta. -
Guión de Prueba de Regresión:
# ------------------------------------------------- # Guión de Simulación – Prueba de Detección de Llamadas de API de Infy # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # Ayudante: copia notepad.exe a un nuevo nombre function Copy-And-Run { param ( [string]$newName ) $src = "$env:SystemRootSystem32notepad.exe" $dst = Join-Path $tempDir $newName Copy-Item -Path $src -Destination $dst -Force Write-Host "Created $dst" Start-Process -FilePath $dst -WindowStyle Hidden } # Crear y ejecutar binarios ficticios que coincidan con los nombres de API Copy-And-Run -newName "GetFileAttributesA.exe" Copy-And-Run -newName "GetMessageA.exe" Copy-And-Run -newName "DispatchMessageA.exe" Write-Host "Simulation complete. Check SIEM for alerts." -
Comandos de Limpieza:
# ------------------------------------------------- # Guion de Limpieza – Eliminar binarios simulados # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" # Detener cualquier proceso ficticio restante Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue | Stop-Process -Force # Eliminar el directorio temporal y su contenido Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Cleanup complete."