O grupo de ameaças conhecido como Infy (também chamado de Prince of Persia) voltou a demonstrar atividade após um período de inatividade relacionado ao bloqueio nacional da internet no Irã. Além disso, pesquisadores identificaram mudanças significativas nas técnicas do grupo, incluindo novos servidores de comando e controle (C2), evolução do malware utilizado e novas estratégias para ocultar operações.
- Leia também: Plugins Indispensáveis para Acelerar seu WordPress em Hospedagem SSD
- Leia também: Como Acelerar seu WordPress para SEO e Conversões com Hospedagem SSD
- Leia também: Otimização Avançada de WordPress com Hospedagem Turbo: 7 Passos Essenciais
Pausa nas atividades coincidiu com blackout nacional
Segundo pesquisadores da SafeBreach, o grupo interrompeu a manutenção de sua infraestrutura C2 em 8 de janeiro de 2026, exatamente quando autoridades iranianas impuseram um apagão generalizado na internet em resposta a protestos. Nesse contexto, o fato chamou atenção porque foi a primeira vez desde o início do monitoramento que os operadores deixaram de manter seus servidores ativos, sugerindo que até unidades cibernéticas associadas ao governo podem ter sido impactadas pelas restrições de conectividade dentro do país.
Posteriormente, a atividade foi retomada em 26 de janeiro de 2026, quando novos servidores C2 foram configurados — apenas um dia antes da flexibilização das restrições de internet. Assim, essa coincidência reforça indícios de que o grupo possui vínculos com o Estado iraniano.
Quem é o grupo Infy
Embora existam diversas operações patrocinadas pelo governo iraniano, o Infy é considerado um dos grupos mais antigos e discretos, ativo desde 2004. De modo geral, suas campanhas costumam ser altamente direcionadas, focando indivíduos específicos com objetivo de coleta de inteligência e espionagem digital. Além disso, apesar da longevidade, o grupo conseguiu operar por anos com baixa exposição pública, o que consequentemente evitou grande atenção da comunidade de segurança.
Evolução do malware: Foudre, Tonnerre e Tornado
Relatórios anteriores já haviam identificado ferramentas usadas pelo grupo, incluindo os malwares Foudre e Tonnerre. Posteriormente, uma versão mais recente do Tonnerre, chamada Tornado, introduziu melhorias relevantes:
- Uso de bots do Telegram como canal alternativo para controle e exfiltração de dados;
- Nova versão (51) capaz de utilizar simultaneamente HTTP e Telegram como infraestrutura C2;
- Atualização completa da infraestrutura de comando e controle para todas as variantes conhecidas.
Além disso, pesquisadores observaram um método incomum para geração de domínios C2:
- algoritmo DGA (Domain Generation Algorithm) atualizado;
- nomes de domínio fixos derivados de dados blockchain, utilizados para evitar a necessidade de atualizar o malware constantemente.
Exploração de vulnerabilidade no WinRAR
Há evidências de que o grupo explorou uma falha recente do WinRAR (CVE-2025-8088 ou CVE-2025-6218) para distribuir o payload Tornado. Além disso, arquivos RAR maliciosos foram enviados ao VirusTotal a partir da Alemanha e da Índia em dezembro de 2025, indicando que esses países podem ter sido alvos das campanhas.
Os arquivos incluíam:
- AuthFWSnapin.dll – principal componente da versão 51 do Tornado;
- reg7989.dll – instalador responsável por verificar a ausência do antivírus Avast, criar persistência na tarefa agendada e executar o malware.
Funcionamento do backdoor e comunicação C2
Após a execução, o Tornado:
- estabelece conexão HTTP para baixar e executar o backdoor principal;
- coleta informações do sistema comprometido;
- alternativamente utiliza a API de bots do Telegram para envio de dados e recebimento de comandos.
Versões anteriores utilizavam grupos do Telegram específicos para controle. No entanto, na atualização recente, mudanças de contas e usuários indicam possível reorganização da infraestrutura operacional do grupo.
Descobertas adicionais a partir da análise do Telegram
Pesquisadores conseguiram extrair mensagens completas de um grupo privado do Telegram associado ao Infy, obtendo acesso a arquivos infiltrados desde fevereiro de 2025. A partir dessa análise, foi possível identificar:
- um arquivo ZIP malicioso responsável por instalar o ZZ Stealer, um infostealer personalizado;
- forte correlação entre essa cadeia de ataque e um pacote malicioso publicado no PyPI chamado “testfiwldsd21233s”, usado para disseminar uma versão anterior do ZZ Stealer;
- possíveis ligações, ainda não confirmadas, com o grupo Charming Kitten devido a técnicas semelhantes envolvendo arquivos ZIP, atalhos LNK e loaders PowerShell.
O ZZ Stealer atua como malware inicial, coletando dados ambientais, capturas de tela e arquivos da área de trabalho. Em seguida, após receber um comando específico (“8==3”), ele baixa uma segunda etapa maliciosa com o mesmo nome.
A retomada das operações e a atualização da infraestrutura sugerem que o Infy continua ativo e em evolução, adotando novos métodos para manter persistência, melhorar comunicação C2 e aumentar a eficácia das campanhas de espionagem. Além disso, a sincronização da atividade com eventos políticos internos no Irã também fortalece a hipótese de apoio estatal, reforçando a relevância do grupo no cenário de ameaças patrocinadas por governos.
Fonte: The Hacker News —https://thehackernews.com/2026/02/infy-hackers-resume-operations-with-new.html
