Riemerge l’attività Malware di Iranian Infy APT dopo anni di silenzio

Introduzione
Il 21 dicembre 2025,è stata rilevata una nuova attività associata a un gruppo di minaccia iraniano noto come Infy (anche noto come Principe di Persia). Ciò avviene quasi cinque anni dopo che il gruppo di hacking era stato osservato mentre attaccava vittime in Svezia, Paesi Bassi e Turchia.

Attività del Principe di Persia
La scala dell’attività del Principe di Persia è più grande di quanto inizialmente anticipato, ha dichiarato Tomer Bar, vicepresidente della ricerca sulla sicurezza di SafeBreach. Il gruppo hacker è ancora attivo, rilevante e pericoloso. Il gruppo ha utilizzato due ceppi di malware: un downloader e un profiler di vittime chiamato Foudre che consegna un implant di secondo livello chiamato Tonnerre per estrarre dati da macchine di alto valore.

Ultimi ritrovamenti
I ritrovamenti più recenti di SafeBreach hanno scoperto una campagna segreta che ha attaccato vittime in Iran, Iraq, Turchia, India e Canada, nonché in Europa, utilizzando versioni aggiornate di Foudre (versione 34) e Tonnerre (versioni 12-18, 50). La versione più recente di Tonnerre è stata rilevata a settembre 2025. Le catene di attacchi hanno anche assistito a un passaggio da un file Excel con macro a un file eseguibile incorporato in tali documenti per installare Foudre. Un aspetto notevole del modus operandi del gruppo di minaccia è l’utilizzo di un algoritmo di generazione di domini (DGA) per rendere la propria infrastruttura di comando e controllo (C2) più resiliente.