🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O esquivo grupo de ameaça iraniano conhecido como Infy (também conhecido como Príncipe da Pérsia) evoluiu as suas tácticas como parte dos esforços para esconder os seus rastos, ao mesmo tempo que preparava uma nova infra-estrutura de comando e controlo (C2), coincidindo com o fim do apagão generalizado da Internet que o regime impôs no início do mês.
“O agente da ameaça parou de manter seus servidores C2 em 8 de janeiro pela primeira vez desde que começamos a monitorar suas atividades”, disse Tomer Bar, vice-presidente de pesquisa de segurança da SafeBreach, em relatório compartilhado com The Hacker News.
“Este foi o mesmo dia em que um encerramento da Internet em todo o país foi imposto pelas autoridades iranianas em resposta aos recentes protestos, o que provavelmente sugere que mesmo as unidades cibernéticas afiliadas ao governo não tinham a capacidade ou motivação para realizar atividades maliciosas no Irão.”
A empresa de segurança cibernética disse ter observado atividade renovada em 26 de janeiro de 2026, quando a equipe de hackers instalou novos servidores C2, um dia antes de o governo iraniano relaxar as restrições à Internet no país. O desenvolvimento é significativo, até porque oferece provas concretas de que o adversário é patrocinado pelo Estado e apoiado pelo Irão.
O Infy é apenas um dos muitos grupos de hackers patrocinados pelo Estado que operam fora do Irão e que realizam operações de espionagem, sabotagem e influência alinhadas com os interesses estratégicos de Teerão. Mas é também um dos grupos mais antigos e menos conhecidos que conseguiu permanecer fora do radar, não atraindo atenção e operando silenciosamente desde 2004 através de ataques “focados em laser” dirigidos a indivíduos para recolha de informações.
Num relatório publicado em dezembro de 2025, SafeBreach divulgou novas técnicas associadas ao ator da ameaça, incluindo o uso de versões atualizadas de Foudre e Tonnerre, com o último empregando um bot Telegram provavelmente para emitir comandos e coletar dados. A versão mais recente do Tonnerre (versão 50) recebeu o codinome Tornado.
A visibilidade contínua das operações do agente da ameaça entre 19 de dezembro de 2025 e 3 de fevereiro de 2026 revelou que os invasores tomaram a iniciativa de substituir a infraestrutura C2 para todas as versões do Foudre e Tonnerre, juntamente com a introdução do Tornado versão 51 que usa HTTP e Telegram para C2.
“Ele usa dois métodos diferentes para gerar nomes de domínio C2: primeiro, um novo algoritmo DGA e depois nomes fixos usando desofuscação de dados blockchain”, disse Bar. “Esta é uma abordagem única que presumimos estar sendo usada para fornecer maior flexibilidade no registro de nomes de domínio C2 sem a necessidade de atualizar a versão do Tornado”.
Também há sinais de que o Infy usou como arma uma falha de segurança de 1 dia no WinRAR (CVE-2025-8088 ou CVE‑2025‑6218) para extrair a carga útil do Tornado em um host comprometido. A mudança no vetor de ataque é vista como uma forma de aumentar a taxa de sucesso de suas campanhas. Os arquivos RAR especialmente criados foram carregados na plataforma VirusTotal em meados de dezembro de 2025, sugerindo que os dois países podem ter sido alvo.
Presente no arquivo RAR está um arquivo autoextraível (SFX) que contém dois arquivos -
AuthFWSnapin.dll, a DLL principal da versão 51 do Tornado
reg7989.dll, um instalador que primeiro verifica se o software antivírus Avast não está instalado e, em caso afirmativo, cria uma tarefa agendada para persistência e executa a DLL Tornado
O Tornado estabelece comunicação com o servidor C2 por HTTP para baixar e executar o backdoor principal e coletar informações do sistema. Se o Telegram for escolhido como método C2, o Tornado usará a API do bot para exfiltrar dados do sistema e receber mais comandos.
É importante notar que a versão 50 do malware usava um grupo do Telegram chamado سرافراز (que se traduz literalmente como “sarafraz”, que significa orgulho) que apresentava o bot do Telegram “@ttestro1bot” e um usuário com o identificador “@ehsan8999100”. Na versão mais recente, um usuário diferente chamado “@Ehsan66442” foi adicionado no lugar deste último.
“Como antes, o membro bot do grupo Telegram ainda não tem permissão para ler as mensagens de bate-papo do grupo”, disse Bar. “Em 21 de dezembro, o usuário original @ehsan8999100 foi adicionado a um novo canal do Telegram chamado Test que tinha três assinantes. O objetivo deste canal ainda é desconhecido, mas presumimos que ele esteja sendo usado para comando e controle das máquinas das vítimas.”
SafeBreach disse que conseguiu extrair todas as mensagens do grupo privado Telegram, permitindo acesso a todos os arquivos exfiltrados de Foudre e Tonnerre desde 16 de fevereiro de 2025, incluindo 118 arquivos e 14 links compartilhados contendo comandos codificados enviados a Tonnerre pelo ator da ameaça. Uma análise destes dados levou a duas descobertas cruciais -
Um arquivo ZIP malicioso que descarta o ZZ Stealer, que carrega uma variante personalizada do infostealer StormKitty
Uma “correlação muito forte” entre a cadeia de ataque do ZZ Stealer e uma campanha direcionada ao pacote Python
“O agente da ameaça parou de manter seus servidores C2 em 8 de janeiro pela primeira vez desde que começamos a monitorar suas atividades”, disse Tomer Bar, vice-presidente de pesquisa de segurança da SafeBreach, em relatório compartilhado com The Hacker News.
“Este foi o mesmo dia em que um encerramento da Internet em todo o país foi imposto pelas autoridades iranianas em resposta aos recentes protestos, o que provavelmente sugere que mesmo as unidades cibernéticas afiliadas ao governo não tinham a capacidade ou motivação para realizar atividades maliciosas no Irão.”
A empresa de segurança cibernética disse ter observado atividade renovada em 26 de janeiro de 2026, quando a equipe de hackers instalou novos servidores C2, um dia antes de o governo iraniano relaxar as restrições à Internet no país. O desenvolvimento é significativo, até porque oferece provas concretas de que o adversário é patrocinado pelo Estado e apoiado pelo Irão.
O Infy é apenas um dos muitos grupos de hackers patrocinados pelo Estado que operam fora do Irão e que realizam operações de espionagem, sabotagem e influência alinhadas com os interesses estratégicos de Teerão. Mas é também um dos grupos mais antigos e menos conhecidos que conseguiu permanecer fora do radar, não atraindo atenção e operando silenciosamente desde 2004 através de ataques “focados em laser” dirigidos a indivíduos para recolha de informações.
Num relatório publicado em dezembro de 2025, SafeBreach divulgou novas técnicas associadas ao ator da ameaça, incluindo o uso de versões atualizadas de Foudre e Tonnerre, com o último empregando um bot Telegram provavelmente para emitir comandos e coletar dados. A versão mais recente do Tonnerre (versão 50) recebeu o codinome Tornado.
A visibilidade contínua das operações do agente da ameaça entre 19 de dezembro de 2025 e 3 de fevereiro de 2026 revelou que os invasores tomaram a iniciativa de substituir a infraestrutura C2 para todas as versões do Foudre e Tonnerre, juntamente com a introdução do Tornado versão 51 que usa HTTP e Telegram para C2.
“Ele usa dois métodos diferentes para gerar nomes de domínio C2: primeiro, um novo algoritmo DGA e depois nomes fixos usando desofuscação de dados blockchain”, disse Bar. “Esta é uma abordagem única que presumimos estar sendo usada para fornecer maior flexibilidade no registro de nomes de domínio C2 sem a necessidade de atualizar a versão do Tornado”.
Também há sinais de que o Infy usou como arma uma falha de segurança de 1 dia no WinRAR (CVE-2025-8088 ou CVE‑2025‑6218) para extrair a carga útil do Tornado em um host comprometido. A mudança no vetor de ataque é vista como uma forma de aumentar a taxa de sucesso de suas campanhas. Os arquivos RAR especialmente criados foram carregados na plataforma VirusTotal em meados de dezembro de 2025, sugerindo que os dois países podem ter sido alvo.
Presente no arquivo RAR está um arquivo autoextraível (SFX) que contém dois arquivos -
AuthFWSnapin.dll, a DLL principal da versão 51 do Tornado
reg7989.dll, um instalador que primeiro verifica se o software antivírus Avast não está instalado e, em caso afirmativo, cria uma tarefa agendada para persistência e executa a DLL Tornado
O Tornado estabelece comunicação com o servidor C2 por HTTP para baixar e executar o backdoor principal e coletar informações do sistema. Se o Telegram for escolhido como método C2, o Tornado usará a API do bot para exfiltrar dados do sistema e receber mais comandos.
É importante notar que a versão 50 do malware usava um grupo do Telegram chamado سرافراز (que se traduz literalmente como “sarafraz”, que significa orgulho) que apresentava o bot do Telegram “@ttestro1bot” e um usuário com o identificador “@ehsan8999100”. Na versão mais recente, um usuário diferente chamado “@Ehsan66442” foi adicionado no lugar deste último.
“Como antes, o membro bot do grupo Telegram ainda não tem permissão para ler as mensagens de bate-papo do grupo”, disse Bar. “Em 21 de dezembro, o usuário original @ehsan8999100 foi adicionado a um novo canal do Telegram chamado Test que tinha três assinantes. O objetivo deste canal ainda é desconhecido, mas presumimos que ele esteja sendo usado para comando e controle das máquinas das vítimas.”
SafeBreach disse que conseguiu extrair todas as mensagens do grupo privado Telegram, permitindo acesso a todos os arquivos exfiltrados de Foudre e Tonnerre desde 16 de fevereiro de 2025, incluindo 118 arquivos e 14 links compartilhados contendo comandos codificados enviados a Tonnerre pelo ator da ameaça. Uma análise destes dados levou a duas descobertas cruciais -
Um arquivo ZIP malicioso que descarta o ZZ Stealer, que carrega uma variante personalizada do infostealer StormKitty
Uma “correlação muito forte” entre a cadeia de ataque do ZZ Stealer e uma campanha direcionada ao pacote Python
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #da #infy #retomam #operações #com #novos #servidores #c2 #após #o #fim #do #apagão #da #internet #no #irã
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário