SOC Prime Bias: Critico

16 Jan 2026 13:13 UTC

Analisi APT Prince of Persia: Malware Infy, Foudre e Tonnerre

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Analisi APT Prince of Persia: Malware Infy, Foudre e Tonnerre
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

Prince of Persia (anche tracciato come APT-C-07) è un attore di cyber-spionaggio allineato con l’Iran, attivo dal 2007. Il gruppo ha riciclato diverse famiglie di malware proprietari—Infy, Foudre, Tonnerre e MaxPinner—per sorvegliare organizzazioni mediatiche, enti politici e obiettivi della società civile. Le operazioni spesso combinano spear-phishing con percorsi di infezione opportunistica e si affidano a metodi di comando e controllo su misura, inclusi canali basati su bot Telegram, per mantenere l’accesso e trasferire dati da sistemi compromessi.

Indagine

Unit 42 e altri team di ricerca hanno tracciato la progressione degli strumenti dell’attore dall’infrastruttura di Infy osservata nel 2016 al ritorno dell’attività di Foudre nel 2017 e a un’iterazione del 2025 di Tonnerre che utilizza Telegram per il comando e controllo. I report tecnici evidenziano la consegna tramite macro di Visual Basic, la persistenza attraverso l’installazione di servizi Windows e l’uso di logica di generazione di domini per supportare un’infrastruttura resiliente. Gli analisti hanno anche documentato funzionalità native a livello di API di Windows usate per l’accesso alle credenziali e comportamenti di sorveglianza come il keylogging, oltre a modelli di esecuzione che indicano un raffinamento continuo delle tecniche di compromissione post-attacco.

Mitigazione

Applicare controlli rigorosi per le macro di Office e imporre la sanificazione degli allegati e-mail per ridurre le opportunità di esecuzione iniziale. Implementare controlli di rete per limitare o monitorare da vicino il traffico Telegram in ambienti in cui non è richiesto per operazioni aziendali. Sui punti terminali, allertare sulla creazione sospetta di servizi, tracciare l’uso di rundll32 coerente con le catene di esecuzione DLL, e bloccare nomi di file dannosi noti e modelli di persistenza basati su registro. Mantenere aggiornati i contenuti di rilevazione per i modelli di dominio che cambiano dinamicamente associati a comportamenti simili a DGA e validare regolarmente i controlli contro la telemetria attuale.

Risposta

Se vengono rilevati indicatori, isolare il sistema coinvolto, catturare artefatti volatili e ricercare i nomi specifici dei servizi e le voci di registro utilizzate per la persistenza. Espandere il triage alla creazione di task pianificati, all’attività anomala di caricamento DLL, e a qualsiasi evidenza di comunicazioni C2 basate su Telegram. Rimuovere i servizi dannosi e i file messi in scena utilizzando le playbook di rimedio convalidati, quindi ruotare le credenziali potenzialmente esposte e monitorare attentamente per tentativi di reingresso o reinfezione attraverso host adiacenti.

Flusso di attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo di Telemetria e Baseline Pre-volo deve essere passato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:
    L’avversario simulato mima il comportamento del malware Infy creando tre eseguibili fittizi i cui nomi corrispondono alle chiamate API che la regola osserva. Utilizzando Copy-Item, duplichiamo notepad.exe (un binario benigno già presente) nella directory temporanea e lo rinomiamo per corrispondere a ciascuna chiamata API. L’attaccante quindi esegue ciascun binario fittizio, producendo eventi di creazione processi di Sysmon con Valori Immagine che terminano in GetFileAttributesA.exe, GetMessageA.exe, e DispatchMessageA.exe. Poiché la condizione della regola è selezione1 o selezione2 sul Valori Immagine campo

  • , ogni lancio soddisfa la regola e genera un avviso.

    # -------------------------------------------------
    # Script di Simulazione – Test di Rilevamento Chiamate API Infy
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
    
    # Helper: copia notepad.exe con un nuovo nome
    function Copy-And-Run {
        param (
            [string]$newName
        )
        $src = "$env:SystemRootSystem32notepad.exe"
        $dst = Join-Path $tempDir $newName
        Copy-Item -Path $src -Destination $dst -Force
        Write-Host "Creato $dst"
        Start-Process -FilePath $dst -WindowStyle Hidden
    }
    
    # Creare ed eseguire binari fittizi che corrispondono ai nomi delle API
    Copy-And-Run -newName "GetFileAttributesA.exe"
    Copy-And-Run -newName "GetMessageA.exe"
    Copy-And-Run -newName "DispatchMessageA.exe"
    
    Write-Host "Simulazione completata. Verifica gli avvisi nel SIEM."
  • Comandi di Pulizia:

    # -------------------------------------------------
    # Script di Pulizia – Rimuovere binari simulati
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    
    # Arrestare eventuali processi fittizi rimanenti
    Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Rimuovere la directory temporanea e il suo contenuto
    Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Pulizia completata."