SOC Prime Bias: Crítico

16 Jan 2026 13:13 UTC

Análise APT Prince of Persia: Malware Infy, Foudre e Tonnerre

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Análise APT Prince of Persia: Malware Infy, Foudre e Tonnerre
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Prince of Persia (também rastreado como APT-C-07) é um ator de ciberespionagem alinhado ao Irã, avaliado como ativo desde 2007. O grupo passou por várias famílias de malware proprietário—Infy, Foudre, Tonnerre, e MaxPinner—para monitorar organizações de mídia, entidades políticas e alvos da sociedade civil. As operações geralmente misturam spear-phishing com caminhos de infecção oportunistas e dependem de métodos personalizados de comando e controle, incluindo canais baseados em bots do Telegram, para manter o acesso e mover dados de sistemas comprometidos.

Investigação

A Unidade 42 e outras equipes de pesquisa rastrearam a progressão das ferramentas do ator desde a infraestrutura Infy observada em 2016 até o retorno da atividade Foudre em 2017 e uma iteração de 2025 do Tonnerre que utiliza o Telegram para comando e controle. Relatórios técnicos destacam a entrega através de macros do Visual Basic, persistência via instalação de serviços do Windows e o uso de lógica de geração de domínios para suportar uma infraestrutura resiliente. Analistas também documentaram a funcionalidade nativa em nível de API do Windows usada para acesso a credenciais e comportamentos de vigilância como keylogging, juntamente com padrões de execução que indicam refinamento contínuo das técnicas pós-comprometimento.

Mitigação

Aplique controles rigorosos para macros do Office e imponha a sanitização de anexos de e-mail para reduzir as oportunidades de execução inicial. Implemente controles de rede para restringir ou monitorar de perto o tráfego do Telegram em ambientes onde não é necessário para operações comerciais. Nos endpoints, alerte para a criação suspeita de serviços, rastreie o uso de rundll32 consistente com cadeias de execução DLL, e bloqueie nomes de arquivos maliciosos conhecidos e padrões de persistência baseados em registro. Mantenha o conteúdo de detecção atualizado para padrões de domínio dinâmicos associados a comportamentos semelhantes ao DGA e valide rotineiramente os controles contra a telemetria atual.

Resposta

Se indicadores forem detectados, isole o sistema afetado, capture artefatos voláteis e procure por nomes específicos de serviços e entradas no registro usados para persistência. Expanda a triagem para a criação de tarefas agendadas, atividade anômala de carga de DLL e qualquer evidência de comunicações de C2 baseadas no Telegram. Remova serviços maliciosos e arquivos em estágio usando playbooks de remediação aprovados, então troque credenciais potencialmente expostas e monitore de perto para tentativas de reentrada ou reinfecção em hosts adjacentes.

Fluxo de ataque

Execução de Simulação

Pré-requisito: O Check de Pré‑voo de Telemetria & Linha de Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:
    O adversário simulado imita o comportamento do malware Infy criando três executáveis de teste cujos nomes de arquivos correspondem às chamadas de API observadas pela regra. Usando Copy-Item, duplicamos notepad.exe (um binário benigno, já presente) para o diretório temporário e o renomeamos para corresponder a cada chamada de API. O atacante então executa cada binário de teste, produzindo eventos de criação de processo do Sysmon com Image valores terminando em GetFileAttributesA.exe, GetMessageA.exe, e DispatchMessageA.exe. Porque a condição da regra é seleção1 ou seleção2 no campo Image , cada execução satisfaz a regra e gera um alerta.

  • Script de Teste de Regressão:

    # -------------------------------------------------
    # Script de Simulação – Teste de Detecção de Chamada de API Infy
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
    
    # Auxiliar: copiar notepad.exe para um novo nome
    function Copy-And-Run {
        param (
            [string]$newName
        )
        $src = "$env:SystemRootSystem32notepad.exe"
        $dst = Join-Path $tempDir $newName
        Copy-Item -Path $src -Destination $dst -Force
        Write-Host "Created $dst"
        Start-Process -FilePath $dst -WindowStyle Hidden
    }
    
    # Crie e execute binários de teste correspondendo aos nomes de API
    Copy-And-Run -newName "GetFileAttributesA.exe"
    Copy-And-Run -newName "GetMessageA.exe"
    Copy-And-Run -newName "DispatchMessageA.exe"
    
    Write-Host "Simulação completa. Verifique alertas no SIEM."
  • Comandos de Limpeza:

    # -------------------------------------------------
    # Script de Limpeza – Remover binários simulados
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    
    # Pare qualquer processo de teste restante
    Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Remova o diretório temporário e seus conteúdos
    Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Limpeza completa."