Il gruppo APT iraniano noto come Infy, spesso indicato anche come Prince of Persia, è tornato a farsi notare dopo anni di apparente silenzio con una nuova ondata di attività malware e cyber spionaggio. Le analisi più recenti descrivono una campagna discreta ma estesa, attiva su più aree geografiche e sostenuta da un ecosistema tecnico aggiornato che rende più difficile il tracciamento e il blocco delle infezioni.
Infy è considerato uno dei gruppi di minaccia persistente avanzata più longevi, con tracce operative che risalgono a molti anni fa. A differenza di altre sigle iraniane più mediatiche, questa operazione si distingue per la capacità di mantenere un profilo basso e per la continuità delle sue infrastrutture. Nelle attività osservate emergono due componenti principali della catena di infezione: Foudre e Tonnerre. Foudre agisce come downloader e profiler della vittima, preparando l’ambiente e distribuendo in seconda fase Tonnerre, un impianto progettato per l’esfiltrazione di dati da macchine di alto valore.
La distribuzione del malware avviene tramite phishing, con tecniche che nel tempo si sono evolute. In passato venivano utilizzati documenti Microsoft Excel con macro, mentre nelle varianti più recenti si è visto un cambio di strategia verso l’incorporamento di un eseguibile all’interno dei documenti per avviare l’installazione di Foudre. Questo tipo di adattamento suggerisce un’attenzione costante alle difese moderne e alle policy aziendali che spesso bloccano le macro.
Un elemento chiave della resilienza operativa è l’uso di un algoritmo di generazione dei domini, utile a rendere più robusta l’infrastruttura di command and control. Inoltre, i componenti malware verificano l’autenticità del dominio C2 scaricando un file di firma RSA e confrontandolo con un riferimento locale, riducendo il rischio di sinkhole o takeover da parte dei difensori. Sono stati anche osservati percorsi e directory sul server C2 dedicati alla validazione, ai log di comunicazione e ai file esfiltrati, oltre a un’area di download che potrebbe essere usata per aggiornamenti e upgrade del malware.
Le versioni più recenti di Tonnerre includono anche un meccanismo che sfrutta Telegram tramite il server C2, con accesso limitato a specifici identificativi delle vittime, un dettaglio che indica un controllo selettivo e mirato delle operazioni.