Nas últimas semanas, vimos como um ator persistente e relativamente discreto do ciberespaço iraniano, conhecido como Infy (também referido como Prince of Persia), mudou sua maneira de operar para cobrir melhor suas pegadas enquanto reconstituía sua infraestrutura de comando e controle. O notável não é apenas o ajuste técnico, mas a sincronia com o apagão massivo da internet que o governo iraniano impôs no início do mês, uma coordenada temporária que ajuda a entender o alcance estatal por trás dessas operações. No contexto, a mídia internacional informou sobre esse corte de conectividade generalizado no país, que afetou tanto cidadãos quanto a atividade de atores locais na rede ( BBC).
Os pesquisadores da assinatura SafeBreach documentaram que pela primeira vez, Infy deixou de manter seus servidores de C2 em 8 de janeiro, data que coincide com o início do apagão. Esse silêncio não foi indefinido: o grupo reanudou atividade no final de janeiro, implantando novos domínios e servidores um dia antes que se aliviassem as restrições de internet dentro do Irã. Esse padrão temporal evidencia que apoia a hipótese de apoio ou coordenação estatal por trás deste grupo, algo que os analistas de segurança vêm rastreando há anos ( Relatório de SafeBreach).
Infy não é uma ameaça nova: opera desde o início da década de 2000 e tem se especializado em campanhas de espionagem e exfiltração dirigidas a pessoas concretas mais do que em operações em massa. Sua evolução técnica nos últimos meses merece atenção: as ferramentas denominadas Foudre e Tonnerre receberam atualizações constantes, e a mais recente – uma variante apodada Tornado – incorpora mecanismos híbridos de comunicação que combinam HTTP com a API do Telegram para receber comandos e exfiltrar dados.
Uma das novidades mais sofisticadas é a forma como geram e resolvem os nomes de domínio para seus servidores de comando e controle. Tornado emprega dois métodos: um algoritmo DGA (Domain Generation Algorithm) para produzir nomes dinâmicos e, além disso, um mecanismo que recupera nomes "fixos" a partir de dados armazenados em uma cadeia de blocos, uma técnica que permite mudar a infraestrutura de C2 sem modificar o código do malware. Este tipo de flexibilidade complica o trabalho das defesas porque reduz a dependência de registros de domínio tradicionais e aumenta a resiliência da rede do atacante ( SafeBreach).
Em paralelo, os operadores exploraram uma vulnerabilidade de dia um em WinRAR para distribuir um arquivo RAR especialmente concebido que, uma vez executado na máquina vítima, desempaqueta um arquivo SFX que contém o núcleo do backdoor Tornado (entre outros componentes). Esse instalador comprova a presença de determinados antivírus e, se não detectar um concreto, cria uma tarefa programada para alcançar persistência e lança o DLL que atua como porta traseira. O uso deste vetor de entrega mostra uma intenção clara de aumentar as taxas de compromisso através da exploração de software amplamente instalado em ambientes de desktop.
Uma peça curiosa do quebra-cabeça é a dependência do Telegram como canal de controle. Em versões anteriores, Tonnerre e Tornado foram apoiados em um bot e em um grupo privado para enviar e receber instruções sem que o bot tivesse permissões para ler as conversas do grupo, sugerindo um uso deliberado das limitações da plataforma para ocultar a telemetria. Pesquisadores conseguiram extrair as mensagens dessa comunidade privada e com eles recuperaram arquivos exfiltrados e comandos, o que permitiu reconstruir cadeias de ataque e atribuir certas cargas ao ator. Para entender melhor como os atacantes usam os bots do Telegram para fins criminosos, você pode consultar a análise do Forcepoint sobre o abuso dessa plataforma ( Forcepoint) e trabalhos de análise sobre como as equipas de resposta conseguiram recuperar conteúdos desses canais ( Checkmarx).
Entre os artefatos detectados figura ZZ Stealer, um infostealer que atua como primeira etapa: coleta dados do ambiente, realiza capturas de tela e exfiltra arquivos do desktop, e ante uma ordem específica descarga e executa uma segunda etapa mais potente. Parte do material exfiltrado e infraestrutura observada guardam uma relação técnica com variantes conhecidas de malware como StormKitty, cujo código e variantes podem ser revistas publicamente em repositórios de análise e em projetos de código aberto ( StormKitty no GitHub) e foi observada uma relação com campanhas de repositórios de pacotes (PyPI) que usaram nomes de pacotes maliciosos para propagar um instalador de ZZ Stealer, uma forma de ataque por cadeia de fornecimento dirigida a desenvolvedores e sistemas automatizados.
Sobre a atribuição, há indícios técnicos que apontam para ligações entre Infy e outras operações iranianas, embora algumas correlações sejam mais fracas do que outras. Por exemplo, o uso de arquivos ZIP e acessos através de acessos diretos do Windows (LNK) e algumas rotinas de PowerShell lembram táticas observadas em atores como Charming Kitten, mas a convergência de ferramentas não equivale a identidade única: no ciberespaço as técnicas são replicadas e adaptadas.
Que ensino devem extrair as equipes defensivas? Em primeiro lugar, a necessidade de monitorar canais não convencionais de C2 como serviços de mensagens que oferecem APIs públicas. As defesas tradicionais centradas apenas em bloqueios de IP ou filtragem de domínios são insuficientes quando o adversário mistura DGA, dados em blockchain e plataformas de mensagens. Em segundo lugar, a proteção contra vetores de arquivo comprimido continua sendo crítica: manter software de descompressão atualizado e aplicar políticas que impeçam a execução automática de SFX e outros executáveis conteúdos em arquivos baixados reduz o risco. Por fim, a detecção de comportamentos anormais —criação de tarefas programadas, cargas invulgares de DLL, tráfego HTTP a domínios recém- registrados, ou comunicações para a API do Telegram desde processos que não deveriam — oferece sinais precoces valiosos para bloquear esses ataques.
Os relatórios técnicos e os conjuntos de dados compartilhados por assinaturas como SafeBreach, e as análises complementares disponíveis na comunidade, são recursos essenciais para entender a fisiologia dessas campanhas e para atualizar regras e detecções. Para aqueles que querem aprofundar as investigações citadas, convém ler o relatório de SafeBreach sobre Infy ( SafeBreach), a análise de Checkmarx sobre a extração de dados de canais privados e campanhas de PyPI ( Checkmarx) e documentação sobre o abuso de bots no Telegram por parte da Forcepoint ( Forcepoint), além de material público sobre famílias de infostealers relacionadas ( StormKitty).
Em suma, a evolução do Infy é um lembrete de que os grupos com apoio estatal combinam sofisticação técnica, conhecimento de plataformas públicas e sincronização política para maximizar impacto e persistência. A defesa exige não só tecnologia, mas inteligência atualizada, colaboração entre equipes de resposta e políticas organizacionais que reduzam a superfície de ataque contra essas táticas cada vez mais nimias e adaptativas.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...