Pesquisadores de segurança detectaram uma retomada de atividade atribuída ao grupo APT conhecido como Infy (também referido como "Prince of Persia"), quase cinco anos após a última observação pública das operações do grupo. A detecção foi reportada por analistas vinculados à SafeBreach.
Descoberta e escopo
Segundo o relato disponibilizado na fonte original, caçadores de ameaças identificaram sinais de atividade novos associados ao Infy. O texto indica que a presença do grupo foi registrada novamente depois de um hiato de quase cinco anos desde operações documentadas contra vítimas na Suécia, Países Baixos e Turquia.
O que a SafeBreach afirma
Em declaração citada na reportagem, Tomer Bar, vice-presidente de pesquisa em segurança da SafeBreach, afirmou:
"The scale of Prince of Persia's activity is more significant than we originally anticipated."Essa afirmação sugere que os analistas encontraram uma amplitude de operações superior às expectativas iniciais, embora o relatório resumido no item RSS não detalhe vetores, payloads ou indicadores de comprometimento (IOCs).
Contexto histórico
O grupo Infy/Prince of Persia já havia sido observado em campanhas direcionadas anteriormente, com alvos registrados na Suécia, nos Países Baixos e na Turquia. A informação disponível no feed não fornece datas precisas das operações anteriores nem descreve a natureza técnica das intrusões passadas (por exemplo, ferramentas usadas ou vetores explorados).
Evidências e limites do que se sabe
- O item RSS informa a reativação e cita a avaliação de pesquisadores da SafeBreach, incluindo a declaração de Tomer Bar.
- Não há, no conteúdo fornecido, lista de IOCs, nomes de malwares, detalhes de infraestrutura de comando e controle ou confirmação de vítimas adicionais além das menções históricas a três países.
- Faltam também informações sobre exploração ativa em massa, impacto mensurável (número de afetados) ou vínculos formais com governos ou operatoras conhecidas além da atribuição contextual ao Irã.
Implicações para times de defesa
Com base na natureza de reativações de APTs, equipes de segurança devem priorizar validação interna das evidências citadas pela SafeBreach: revisar logs de rede e de endpoints, procurar comunicações anômalas para domínios e IPs desconhecidos, e cruzar telemetria com fontes de inteligência corporativa e públicas. O relato público destaca um aumento de escala, o que em termos operacionais implica maior probabilidade de tentativas de movimento lateral e persistência prolongada nos alvos caso a campanha esteja em curso.
O que falta e o que acompanhar
O item consultado não inclui detalhes técnicos cruciais para resposta a incidentes — como IOCs, táticas, técnicas e procedimentos (TTPs) específicos, ou amostras de malware. Também não há menção explícita a vítimas brasileiras ou impacto sobre infraestrutura crítica no Brasil. Equipes devem aguardar um relatório técnico completo da SafeBreach ou comunicações de CSIRTs/autoridades competentes para ações de contenção e hunting dirigidas.
Recomendações práticas imediatas
- Consolidar e reter logs relevantes (EPP/EDR, proxy, VPN, autenticação) para permitir caça e análise retroativa caso IOCs sejam publicados.
- Atualizar regras de detecção com base em qualquer indicador oficialmente liberado pela SafeBreach ou por órgãos de resposta a incidentes.
- Priorizar revisão de credenciais privilegiadas, segmentação de rede e controles de monitoramento em sistemas expostos mais amplamente.
Em resumo, a notícia aponta para um retorno de atividade de um ator iraniano historicamente observado na Europa, com a SafeBreach descrevendo uma escala maior do que esperada. No entanto, o conteúdo disponível no RSS é sucinto: falta divulgação pública de artefatos e IOCs no texto fornecido, e não há referência a impacto em organizações brasileiras. Os times de segurança devem acompanhar publicações oficiais posteriores e preparar capacidade de hunting e resposta caso novas evidências técnicas sejam liberadas.