VOLVER A NOTICIAS
Última Hora

Grupo de Amenazas Infy Reanuda el Ciberespionaje con una Actualización Sigilosa de Infraestructura C2

4 min de lecturaFuente: The Hacker News

El grupo APT iraní Infy reactiva operaciones con tácticas de evasión mejoradas tras el apagón de internet en Irán. Descubre sus nuevas técnicas y cómo protegerse.

El Grupo APT Iraní Infy Reanuda Operaciones con Tácticas de Evasión Refinadas

El grupo iraní de amenazas persistentes avanzadas (APT) Infy (también rastreado como Prince of Persia) ha reactivado sus operaciones de ciberespionaje tras la conclusión del apagón nacional de internet en Irán. El actor de amenazas ha desplegado una nueva infraestructura de comando y control (C2), al tiempo que ha refinado sus tácticas para evadir la detección, según investigadores de seguridad.

Desarrollos Clave y Cronología

  • Cese de Actividad: Infy detuvo el mantenimiento de sus servidores C2 existentes el 8 de enero de 2026, marcando su primera pausa operativa desde que comenzó su seguimiento.
  • Apagón de Internet: La inactividad del grupo coincidió con el apagón nacional de internet en Irán, impuesto a principios de febrero de 2026 en medio de disturbios internos.
  • Reanudación de Operaciones: Con la restauración de los servicios de internet, Infy ha restablecido su infraestructura C2, incorporando nuevas técnicas de evasión para ocultar sus actividades.

Análisis Técnico de las Tácticas Actualizadas

Infy ha atacado históricamente a entidades gubernamentales, disidentes y adversarios regionales mediante campañas de spear-phishing y malware personalizado. Aunque los detalles específicos de la nueva infraestructura C2 aún no se han revelado, los analistas de seguridad destacan las siguientes mejoras probables:

  • Algoritmos de Generación de Dominios (DGAs): Uso potencial de DGAs para generar dinámicamente dominios C2, complicando los esfuerzos de desmantelamiento.
  • Ofuscación de Tráfico: Posible implementación de túneles cifrados (por ejemplo, DNS-over-HTTPS o comunicación basada en VPN) para enmascarar el tráfico malicioso.
  • Binarios Living-off-the-Land (LOLBins): Mayor dependencia de herramientas legítimas del sistema para reducir artefactos forenses.
  • Hosting Fast-Flux: Rotación rápida de direcciones IP asociadas a dominios C2 para evadir listas negras.

Impacto y Atribución

Las operaciones de Infy se alinean con los objetivos de ciberespionaje patrocinado por el Estado iraní, centrándose en la recolección de inteligencia y vigilancia. La reanudación de las actividades del grupo subraya la continua inversión de Teherán en capacidades cibernéticas a pesar de las disrupciones geopolíticas.

  • Objetivos: Probablemente incluyan gobiernos de Oriente Medio, activistas y misiones diplomáticas extranjeras.
  • Motivación: Principalmente recolección de inteligencia estratégica, con objetivos secundarios potencialmente vinculados a operaciones de influencia.

Recomendaciones para Defensores

Los equipos de seguridad deben priorizar las siguientes mitigaciones para detectar y interrumpir las tácticas actualizadas de Infy:

  1. Monitoreo de Red

    • Implementar análisis de comportamiento para identificar patrones anómalos de comunicación C2.
    • Monitorear el tráfico saliente inusual, especialmente hacia dominios recién registrados o rangos de IP maliciosos conocidos.

  2. Protección de Endpoints

    • Aplicar listas blancas de aplicaciones para bloquear la ejecución no autorizada de LOLBins.
    • Habilitar detección avanzada de amenazas (por ejemplo, soluciones EDR/XDR) para marcar inyecciones de procesos sospechosas o movimiento lateral.

  3. Inteligencia de Amenazas

    • Suscribirse a feeds de amenazas específicos de APT para mantenerse actualizado sobre la infraestructura en evolución de Infy (por ejemplo, dominios C2, hashes de malware).
    • Correlacionar indicadores de compromiso (IOCs) con grupos de amenazas vinculados a Irán para contextualizar alertas.

  4. Concienciación del Usuario

    • Realizar simulaciones de phishing dirigidas para entrenar a los usuarios en el reconocimiento de señuelos de spear-phishing, un vector común de infección de Infy.

  5. Respuesta a Incidentes

    • Desarrollar guías de respuesta para actividad de APT iraníes, incluyendo estrategias de contención para familias de malware de Infy (por ejemplo, Foudre, Tonnerre).

Conclusión

El regreso de Infy a las operaciones destaca la resiliencia de los actores de amenazas patrocinados por el Estado y los desafíos de rastrear a grupos que se adaptan a las disrupciones geopolíticas. Las organizaciones en sectores de alto riesgo —particularmente gobierno, defensa y derechos humanos— deben asumir que Infy sigue siendo una amenaza activa y ajustar sus defensas en consecuencia.

Para obtener más IOCs y análisis técnicos, consulte los informes de CrowdStrike, Mandiant o la divulgación original de The Hacker News (fuente).

Compartir

TwitterLinkedIn