En las últimas semanas hemos visto cómo un actor persistente y relativamente discreto del ciberespacio iraní, conocido como Infy (también referido como Prince of Persia), ha cambiado su manera de operar para cubrir mejor sus huellas mientras reconstituía su infraestructura de mando y control. Lo llamativo no es solo el ajuste técnico, sino la sincronía con el apagón masivo de internet que el gobierno iraní impuso a principios de mes, una coordenada temporal que ayuda a entender el alcance estatal detrás de estas operaciones. Para ponerlo en contexto, medios internacionales informaron sobre ese corte de conectividad generalizado en el país, que afectó tanto a ciudadanos como a la actividad de actores locales en la red (BBC).
Los investigadores de la firma SafeBreach documentaron que por primera vez, Infy dejó de mantener sus servidores de C2 el 8 de enero, fecha que coincide con el inicio del apagón. Ese silencio no fue indefinido: el grupo reanudó actividad a finales de enero, desplegando nuevos dominios y servidores un día antes de que se aliviasen las restricciones de internet dentro de Irán. Ese patrón temporal aporta evidencia que respalda la hipótesis de apoyo o coordinación estatal detrás de este grupo, algo que los analistas de seguridad vienen rastreando desde hace años (informe de SafeBreach).
Infy no es una amenaza nueva: opera desde comienzos de la década de 2000 y se ha especializado en campañas de espionaje y exfiltración dirigidas a personas concretas más que en operaciones masivas. Su evolución técnica en los últimos meses merece atención: las herramientas denominadas Foudre y Tonnerre han recibido actualizaciones constantes, y la más reciente —una variante apodada Tornado— incorpora mecanismos híbridos de comunicación que combinan HTTP con la API de Telegram para recibir órdenes y exfiltrar datos.
Una de las novedades más sofisticadas es la forma en que generan y resuelven los nombres de dominio para sus servidores de mando y control. Tornado emplea dos métodos: un algoritmo DGA (Domain Generation Algorithm) para producir nombres dinámicos y, además, un mecanismo que recupera nombres "fijos" a partir de datos almacenados en una cadena de bloques, una técnica que permite cambiar la infraestructura de C2 sin modificar el código del malware. Este tipo de flexibilidad complica la labor de las defensas porque reduce la dependencia de registros de dominio tradicionales y aumenta la resiliencia de la red del atacante (SafeBreach).
En paralelo los operadores explotaron una vulnerabilidad de día uno en WinRAR para distribuir un archivo RAR especialmente diseñado que, una vez ejecutado en la máquina víctima, desempaqueta un archivo SFX que contiene el núcleo del backdoor Tornado (entre otros componentes). Ese instalador comprueba la presencia de determinados antivirus y, si no detecta uno concreto, crea una tarea programada para lograr persistencia y lanza el DLL que actúa como puerta trasera. El uso de este vector de entrega muestra una intención clara de aumentar las tasas de compromiso mediante la explotación de software ampliamente instalado en entornos de escritorio.
Una pieza curiosa del rompecabezas es la dependencia de Telegram como canal de control. En versiones anteriores, Tonnerre y Tornado se apoyaron en un bot y en un grupo privado para enviar y recibir instrucciones sin que el bot tuviera permisos para leer las conversaciones del grupo, lo que sugiere un uso deliberado de las limitaciones de la plataforma para ocultar la telemetría. Investigadores consiguieron extraer los mensajes de esa comunidad privada y con ellos recuperaron archivos exfiltrados y comandos, lo que permitió reconstruir cadenas de ataque y atribuir determinadas cargas al actor. Para entender mejor cómo los atacantes usan los bots de Telegram con fines delictivos, puede consultarse el análisis de Forcepoint sobre el abuso de esa plataforma (Forcepoint), así como trabajos de análisis sobre cómo los equipos de respuesta han podido recuperar contenidos de estos canales (Checkmarx).
Entre los artefactos detectados figura ZZ Stealer, un infostealer que actúa como primera etapa: recopila datos del entorno, realiza capturas de pantalla y exfiltra ficheros del escritorio, y ante una orden específica descarga y ejecuta una segunda etapa más potente. Parte del material exfiltrado y la infraestructura observada guardan una relación técnica con variantes conocidas de malware como StormKitty, cuyo código y variantes se pueden revisar públicamente en repositorios de análisis y en proyectos de código abierto (StormKitty en GitHub), y se ha observado una relación con campañas de repositorios de paquetes (PyPI) que usaron nombres de paquete maliciosos para propagar un instalador de ZZ Stealer, una forma de ataque por cadena de suministro dirigida a desarrolladores y sistemas automatizados.
Sobre la atribución, hay indicios técnicos que apuntan a vínculos entre Infy y otras operaciones iraníes, aunque algunas correlaciones son más débiles que otras. Por ejemplo, el uso de archivos ZIP y accesos mediante accesos directos de Windows (LNK) y ciertas rutinas de PowerShell recuerdan tácticas observadas en actores como Charming Kitten, pero la convergencia de herramientas no equivale a identidad única: en el ciberespacio las técnicas se replican y se adaptan.
¿Qué enseñanza deben extraer los equipos defensivos? En primer lugar, la necesidad de monitorear canales no convencionales de C2 como servicios de mensajería que ofrecen APIs públicas. Las defensas tradicionales centradas solo en bloqueos de IP o filtrado de dominios resultan insuficientes cuando el adversario mezcla DGA, datos en blockchain y plataformas de mensajería. En segundo lugar, la protección contra vectores de archivo comprimido sigue siendo crítica: mantener software de descompresión actualizado y aplicar políticas que impidan la ejecución automática de SFX y otros ejecutables contenidos en archivos descargados reduce el riesgo. Por último, la detección de comportamientos anómalos —creación de tareas programadas, cargas inusuales de DLL, tráfico HTTP a dominios recién registrados, o comunicaciones hacia la API de Telegram desde procesos que no deberían— ofrece señales tempranas valiosas para bloquear estos ataques.
Los informes técnicos y los conjuntos de datos compartidos por firmas como SafeBreach, y los análisis complementarios disponibles en la comunidad, son recursos esenciales para entender la fisiología de estas campañas y para actualizar reglas y detecciones. Para quienes quieran profundizar en las investigaciones citadas, conviene leer el informe de SafeBreach sobre Infy (SafeBreach), el análisis de Checkmarx sobre la extracción de datos de canales privados y campañas de PyPI (Checkmarx), y la documentación sobre el abuso de bots en Telegram por parte de Forcepoint (Forcepoint), además de material público sobre familias de infostealers relacionadas (StormKitty).
En suma, la evolución de Infy es un recordatorio de que los grupos con respaldo estatal combinan sofisticación técnica, conocimiento de plataformas públicas y sincronización política para maximizar impacto y persistencia. La defensa exige no solo tecnología, sino inteligencia actualizada, colaboración entre equipos de respuesta y políticas organizacionales que reduzcan la superficie de ataque frente a estas tácticas cada vez más nimias y adaptativas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...