VOLTAR ÀS NOTÍCIAS
Última Hora

Grupo de Ameaças Infy Retoma Ciberespionagem com Atualização Furtiva de Infraestrutura C2

4 min de leituraFonte: The Hacker News

O grupo APT iraniano Infy retomou operações de ciberespionagem após blackout nacional, implementando novas táticas de evasão e infraestrutura C2 aprimorada. Saiba como se proteger.

Grupo APT Iraniano Infy Retoma Operações com Táticas de Evasão Refinadas

O grupo iraniano de ameaças persistentes avançadas (APT) Infy (também rastreado como Prince of Persia) reativou suas operações de ciberespionagem após o término do blackout nacional de internet no Irã. O ator de ameaças implantou uma nova infraestrutura de comando e controle (C2) e, simultaneamente, aprimorou suas táticas para evadir detecções, de acordo com pesquisadores de segurança.

Principais Desenvolvimentos e Linha do Tempo

  • Cessação de Atividades: O Infy interrompeu a manutenção de seus servidores C2 existentes em 8 de janeiro de 2026, marcando sua primeira pausa operacional desde o início do rastreamento.
  • Blackout de Internet: A inatividade do grupo coincidiu com o apagão nacional de internet no Irã, imposto no início de fevereiro de 2026 em meio a distúrbios domésticos.
  • Retomada das Operações: Com a restauração dos serviços de internet, o Infy restabeleceu sua infraestrutura C2, incorporando novas técnicas de evasão para ocultar suas atividades.

Análise Técnica das Táticas Atualizadas

O Infy tem como alvo histórico entidades governamentais, dissidentes e adversários regionais, utilizando campanhas de spear-phishing e malware personalizado. Embora detalhes específicos da nova infraestrutura C2 ainda não tenham sido divulgados, analistas de segurança destacam os seguintes aprimoramentos prováveis:

  • Algoritmos de Geração de Domínios (DGAs): Possível uso de DGAs para gerar dinamicamente domínios C2, complicando esforços de remoção.
  • Ofuscação de Tráfego: Implementação potencial de tunelamento criptografado (ex.: DNS-over-HTTPS ou comunicação baseada em VPN) para mascarar tráfego malicioso.
  • Binários Living-off-the-Land (LOLBins): Maior dependência de ferramentas legítimas do sistema para reduzir artefatos forenses.
  • Hospedagem Fast-Flux: Rotação rápida de endereços IP associados a domínios C2 para evadir listas negras.

Impacto e Atribuição

As operações do Infy estão alinhadas com objetivos de ciberespionagem patrocinados pelo Estado iraniano, focando em coleta de inteligência e vigilância. A retomada das atividades do grupo reforça o contínuo investimento de Teerã em capacidades cibernéticas, apesar de disrupções geopolíticas.

  • Alvos: Provavelmente incluem governos do Oriente Médio, ativistas e missões diplomáticas estrangeiras.
  • Motivação: Principalmente coleta de inteligência estratégica, com objetivos secundários potencialmente ligados a operações de influência.

Recomendações para Defensores

Equipes de segurança devem priorizar as seguintes mitigações para detectar e interromper as táticas atualizadas do Infy:

  1. Monitoramento de Rede

    • Implantar análises comportamentais para identificar padrões anômalos de comunicação C2.
    • Monitorar tráfego de saída incomum, especialmente para domínios recém-registrados ou faixas de IP maliciosas conhecidas.

  2. Proteção de Endpoints

    • Implementar lista branca de aplicações para bloquear a execução não autorizada de LOLBins.
    • Habilitar detecção avançada de ameaças (ex.: soluções EDR/XDR) para sinalizar injeções de processos suspeitas ou movimento lateral.

  3. Inteligência de Ameaças

    • Assinar feeds de ameaças específicos para APTs para se manter atualizado sobre a infraestrutura em evolução do Infy (ex.: domínios C2, hashes de malware).
    • Correlacionar indicadores de comprometimento (IOCs) com grupos de ameaças ligados ao Irã para contextualizar alertas.

  4. Conscientização do Usuário

    • Realizar simulações de phishing direcionadas para treinar usuários a reconhecer iscas de spear-phishing, um vetor comum de infecção do Infy.

  5. Resposta a Incidentes

    • Desenvolver playbooks para atividade de APTs iranianos, incluindo estratégias de contenção para famílias de malware do Infy (ex.: Foudre, Tonnerre).

Conclusão

O retorno do Infy às operações destaca a resiliência de atores de ameaças patrocinados por Estados e os desafios de rastrear grupos que se adaptam a disrupções geopolíticas. Organizações em setores de alto risco — especialmente governo, defesa e direitos humanos — devem assumir que o Infy permanece uma ameaça ativa e ajustar suas defesas de acordo.

Para mais IOCs e análises técnicas, consulte relatórios da CrowdStrike, Mandiant ou a divulgação original do The Hacker News (fonte).

Compartilhar

TwitterLinkedIn