Hack Alerta

APT iraniano 'Prince of Persia' retoma ataques a infraestrutura crítica

Por Redação Hack Alerta Publicado em 19/12/2025 12:01 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisadores relataram a retomada do APT conhecido como "Prince of Persia", que usa variantes Foudre v34 e Tonnerre v50 para atacar redes corporativas e infraestrutura crítica. Vetores incluem arquivos Excel com executáveis embutidos, um DGA bifásico e uso de Telegram como canal de C2. O relatório destaca técnicas de evasão e persistência, mas não quantifica vítimas.

Resumo

Pesquisadores detectaram a retomada de operações de um grupo iraniano rastreado como "Prince of Persia", com uma campanha de ciberespionagem que mira redes corporativas e infraestrutura crítica. A investigação — citada por analistas da SafeBreach e relatada pelo Cyber Security News — descreve variantes atualizadas de malware e técnicas de comando e controle destinadas a manter acessos de longo prazo.

Descoberta e escopo

Analistas observaram atividade renovada após cerca de três anos de dormência. O grupo emprega agora variantes identificadas como Foudre v34 e Tonnerre v50, que apresentam capacidades avançadas de persistência e exfiltração, segundo o relatório publicizado.

Vetor inicial e cadeia de infecção

Os ataques começam com arquivos Microsoft Excel maliciosos que contêm executáveis embutidos — uma mudança tática em relação à dependência anterior de documentos com macros. Esses arquivos são frequentemente disfarçados como atualizações administrativas ou boletins locais para enganar vítimas e burlarem mecanismos tradicionais de detecção.

Arquitetura do malware e técnicas usadas

O artefato Foudre v34 usa um carregador em múltiplas etapas. O relatório cita um loader DLL identificado como Conf8830.dll que executa uma função exportada chamada f8qb1355, a qual invoca um arquivo DLL disfarçado (d232) apresentado como se fosse um arquivo MP4. Após execução bem-sucedida, o malware implanta o backdoor Foudre e estabelece persistência.

Domain Generation Algorithm (DGA)

O DGA do Foudre descrito no relatório é bifásico: primeiro calcula um CRC32 a partir de uma string formatada por data (ex.: LOS1{}{}{}.format(date.year, date.month, weeknumber)), e depois transforma esse resultado em um hostname único de oito caracteres. Essa lógica permite a geração dinâmica de domínios para comunicação C2, reduzindo a eficácia de bloqueios estáticos.

Mecanismo de C2 e uso de plataformas externas

A variante Tonnerre v50 introduz um mecanismo de redirecionamento que recorre ao Telegram para receber comandos, em vez de depender exclusivamente de servidores web tradicionais. A comunicação com servidores C2 também inclui requisições HTTP GET estruturadas que validam a máquina vítima, por exemplo:

https://<c2 server>/1/?c=<machine name>&u=<user name>&v=<current version>

Essa granularidade permite aos operadores selecionar quais máquinas atualizar ou remover, mantendo operações furtivas e controlando a superfície de ataque.

Evidências e atributos operacionais

A investigação correlacionou o uso dos conjuntos Foudre e Tonnerre, e identificou uma persona operando sob o pseudônimo "Ehsan", o que sugere gestão humana e operação dirigida da infraestrutura maliciosa. Relatórios também apontam para avanços em técnicas de evasão e uma infraestrutura de C2 descentralizada para dificultar a interrupção.

Impacto e limitações do que se sabe

  • Impacto: o alvo declarado inclui organizações de infraestrutura crítica e redes corporativas — alvos de alto valor.
  • Escopo: o relatório não quantifica o número total de vítimas nem identifica operações com impacto específico em países ou organizações nomeadas.
  • Limitações: faltam dados públicos sobre exploração de vulnerabilidades específicas, indicadores de comprometimento completos ou amostras públicas para validação externa; o relatório baseia-se em telemetria e análise forense conduzida pelos pesquisadores citados.

O que mudou agora

Segundo a análise, a mudança mais relevante é a evolução técnica do conjunto de ferramentas do ator e a adoção de vetores que buscam burlar detecções padrão (arquivos Excel com executáveis embutidos, DGA moderno, uso de Telegram como canal de C2). Essas alterações aumentam a stealthiness e a resiliência operacional do grupo.

Recomendações operacionais (do ponto de vista técnico)

  • Monitorar e bloquear padrões de DGA conhecidos quando possível; correlacionar acessos suspeitos com domínios gerados por algoritmo.
  • Inspecionar anexos Office para conteúdo embutido não convencional (executáveis em arquivos .xls/.xlsx) e aplicar análise dinâmica em sandbox para detectar extrações silenciosas.
  • Reforçar monitoramento de canais de exfiltração e comunicações atípicas para plataformas de mensagens (ex.: tráfego que interaja com APIs/tokens de Telegram de forma não esperada).
  • Priorizar a triagem de sinais de persistência em múltiplas camadas (serviços, DLLs carregadas, entradas de inicialização) identificadas pelo relatório.

Fonte do relatório: análise da SafeBreach e cobertura do Cyber Security News. O material original traz os detalhes técnicos usados acima. Onde faltam confirmações públicas (quantidade de vítimas, alvos específicos, IOC completos), essa matéria indica claramente essas lacunas.

Baseado em publicação original de Cyber Security News
Tags: #apt #iran #malware #foudre #tonnerre #dga #c2 #infraestrutura #espionagem
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar