El Regreso Silencioso de Infy: Cuando un APT Nunca se Va del Todo

Si alguna vez has pensado que un grupo de ciberespionaje desaparece porque deja de aparecer en titulares, el caso de Infy, también conocido como Prince of Persia, es una advertencia clara: en ciberseguridad, el silencio no significa inactividad. Todo lo contrario. Tras casi cinco años sin ruido mediático, este histórico grupo APT iraní ha vuelto a operar con nuevas campañas, malware actualizado y una infraestructura más resiliente.

Desde TecnetOne, analizamos este resurgimiento no solo como una noticia técnica, sino como una lección estratégica para cualquier organización que crea que las amenazas “antiguas” ya no representan un riesgo.

Un viejo conocido del ciberespionaje global

Infy no es un actor cualquiera. Se trata de uno de los APT más antiguos documentados, con evidencias de actividad que se remontan a 2004. Aunque durante años pasó desapercibido frente a otros grupos iraníes más mediáticos como Charming Kitten, MuddyWater u OilRig, eso no significó que fuera menos peligroso.

Su fortaleza siempre ha sido la discreción. Mientras otros grupos buscaban impacto, Infy se especializó en operaciones prolongadas, selectivas y silenciosas, centradas en objetivos de alto valor.

Cinco años sin titulares pero no sin trabajo

Durante un largo periodo, especialmente a partir de 2022, Infy pareció desaparecer del radar. Sin embargo, nuevas investigaciones de SafeBreach demuestran que el grupo nunca dejó de evolucionar. Simplemente bajó el perfil público mientras refinaba herramientas, infraestructuras y métodos de evasión.

Hoy sabemos que, entre 2023 y 2025, el grupo lanzó nuevas campañas activas contra objetivos en:

1. Irán
   
   
2. Irak
   
   
3. Turquía
   
   
4. India
   
   
5. Canadá
   
   
6. Diversos países europeos

Un alcance geográfico que confirma que no se trata de operaciones aisladas, sino de ciberespionaje sostenido a nivel internacional.

Foudre y Tonnerre: malware veterano, pero actualizado

El núcleo de las operaciones de Infy sigue girando en torno a dos familias de malware bien conocidas:

1. Foudre, un downloader y perfilador de víctimas
   
   
2. Tonnerre, el implante de segunda etapa encargado de la exfiltración de datos

La diferencia es que ahora estas herramientas están mucho más refinadas. Las versiones más recientes de Foudre (v34) y Tonnerre (v12–18 y v50) incorporan mejoras claras en persistencia, validación de infraestructura y control remoto.

Si antes ya eran difíciles de detectar, ahora lo son aún más.

Un cambio clave en la cadena de infección

Uno de los cambios más relevantes está en el vector inicial. Infy abandonó el uso clásico de documentos de Excel con macros maliciosas y pasó a incrustar directamente ejecutables dentro de archivos aparentemente legítimos.

Esto reduce la dependencia de macros (cada vez más bloqueadas por defecto) y aumenta la tasa de éxito del phishing, que sigue siendo el principal método de distribución de Foudre.

El mensaje es claro: el grupo se adapta rápido a los cambios defensivos del ecosistema.

Infraestructura C2 más resistente gracias a DGA

Uno de los aspectos más sofisticados del nuevo Infy es el uso de un Domain Generation Algorithm (DGA). Esta técnica permite que el malware genere dinámicamente dominios de comando y control, dificultando enormemente el bloqueo y el derribo de la infraestructura.

Pero no se quedan ahí. Foudre y Tonnerre implementan un sistema de validación criptográfica para asegurarse de que solo se comunican con dominios legítimos del atacante. El proceso incluye:

1. Descarga diaria de un archivo de firma cifrado
   
   
2. Verificación mediante RSA con clave pública embebida
   
   
3. Comparación con valores almacenados localmente

Si la validación falla, el malware simplemente no se comunica. Esto reduce el riesgo de sinkholing o análisis por terceros.

Servidores C2 diseñados para operaciones a largo plazo

El análisis de SafeBreach también reveló la estructura interna de los servidores de comando y control. Entre los directorios detectados destacan:

1. /key: validación criptográfica de dominios
   
   
2. logs: registro de comunicaciones
   
   
3. exfil: almacenamiento de datos robados
   
   
4. download: posiblemente usado para actualizar malware

Esta organización demuestra que no se trata de campañas improvisadas, sino de infraestructura pensada para durar años.

Telegram como canal de control pero con restricciones

La versión más reciente de Tonnerre incorpora un mecanismo para comunicarse con un grupo privado de Telegram llamado “سرافراز” (“orgulloso” en persa). Allí interactúan:

1. Un bot automatizado para comandos
   
   
2. Un operador humano identificado por un alias específico

Lo interesante es que no todas las víctimas pueden activar este canal. Solo ciertos identificadores únicos (GUIDs) permiten descargar el archivo que contiene la información de Telegram, lo que indica un alto nivel de segmentación y control.

Esto reduce exposición y limita el análisis por parte de investigadores.

Un arsenal más amplio de lo que se pensaba

Además de las versiones actuales, SafeBreach identificó malware adicional usado por Infy entre 2017 y 2020, como:

1. Versiones camufladas como buscadores de noticias
   
   
2. Troyanos para espiar contenido de Telegram
   
   
3. Malware disfrazado de software legítimo
   
   
4. Herramientas aún no completamente clasificadas

Esto confirma que Infy mantiene un ecosistema de herramientas reutilizables, algo típico de actores estatales maduros.

Lee más: Microsoft: Hackers iraníes usan MediaPl contra investigadores

La conexión con otros grupos iraníes

Este resurgimiento ocurre en paralelo con nuevas revelaciones sobre Charming Kitten y su relación con operaciones como Moses Staff. Investigaciones recientes muestran que muchos de estos grupos comparten infraestructura, procesos y hasta modelos administrativos, como si fueran departamentos distintos dentro de una misma organización.

En otras palabras: el ciberespionaje iraní funciona más como una estructura estatal organizada que como colectivos independientes.

Qué te deja este caso como organización

El regreso de Infy deja varias lecciones clave:

1. Las amenazas no desaparecen, evolucionan

2. Los APT priorizan la persistencia sobre el ruido
   
   
3. La falta de actividad visible no es sinónimo de seguridad
   
   
4. Infraestructuras mal monitoreadas siguen siendo un punto débil
   
   
5. El phishing sigue siendo el vector más rentable

Desde TecnetOne, insistimos en que la defensa efectiva no se basa solo en reaccionar a lo nuevo, sino en no olvidar a los adversarios que ya demostraron paciencia y capacidad.

Conclusión: el peligro del “ya no es relevante”

Infy demuestra que en ciberseguridad nadie se jubila realmente. Un grupo que parecía inactivo reaparece con malware más robusto, mejor infraestructura y técnicas más refinadas.

Si tu estrategia de seguridad se basa únicamente en las amenazas de moda, estás dejando la puerta abierta a actores que llevan más de una década perfeccionando el arte del espionaje digital.

La vigilancia continua, el análisis de comportamiento y la memoria histórica ya no son opcionales. Son la única forma de no ser sorprendido por quienes nunca se fueron.