Si alguna vez has pensado que un grupo de ciberespionaje desaparece porque deja de aparecer en titulares, el caso de Infy, también conocido como Prince of Persia, es una advertencia clara: en ciberseguridad, el silencio no significa inactividad. Todo lo contrario. Tras casi cinco años sin ruido mediático, este histórico grupo APT iraní ha vuelto a operar con nuevas campañas, malware actualizado y una infraestructura más resiliente.
Desde TecnetOne, analizamos este resurgimiento no solo como una noticia técnica, sino como una lección estratégica para cualquier organización que crea que las amenazas “antiguas” ya no representan un riesgo.
Infy no es un actor cualquiera. Se trata de uno de los APT más antiguos documentados, con evidencias de actividad que se remontan a 2004. Aunque durante años pasó desapercibido frente a otros grupos iraníes más mediáticos como Charming Kitten, MuddyWater u OilRig, eso no significó que fuera menos peligroso.
Su fortaleza siempre ha sido la discreción. Mientras otros grupos buscaban impacto, Infy se especializó en operaciones prolongadas, selectivas y silenciosas, centradas en objetivos de alto valor.
Durante un largo periodo, especialmente a partir de 2022, Infy pareció desaparecer del radar. Sin embargo, nuevas investigaciones de SafeBreach demuestran que el grupo nunca dejó de evolucionar. Simplemente bajó el perfil público mientras refinaba herramientas, infraestructuras y métodos de evasión.
Hoy sabemos que, entre 2023 y 2025, el grupo lanzó nuevas campañas activas contra objetivos en:
Un alcance geográfico que confirma que no se trata de operaciones aisladas, sino de ciberespionaje sostenido a nivel internacional.
El núcleo de las operaciones de Infy sigue girando en torno a dos familias de malware bien conocidas:
La diferencia es que ahora estas herramientas están mucho más refinadas. Las versiones más recientes de Foudre (v34) y Tonnerre (v12–18 y v50) incorporan mejoras claras en persistencia, validación de infraestructura y control remoto.
Si antes ya eran difíciles de detectar, ahora lo son aún más.
Uno de los cambios más relevantes está en el vector inicial. Infy abandonó el uso clásico de documentos de Excel con macros maliciosas y pasó a incrustar directamente ejecutables dentro de archivos aparentemente legítimos.
Esto reduce la dependencia de macros (cada vez más bloqueadas por defecto) y aumenta la tasa de éxito del phishing, que sigue siendo el principal método de distribución de Foudre.
El mensaje es claro: el grupo se adapta rápido a los cambios defensivos del ecosistema.
Uno de los aspectos más sofisticados del nuevo Infy es el uso de un Domain Generation Algorithm (DGA). Esta técnica permite que el malware genere dinámicamente dominios de comando y control, dificultando enormemente el bloqueo y el derribo de la infraestructura.
Pero no se quedan ahí. Foudre y Tonnerre implementan un sistema de validación criptográfica para asegurarse de que solo se comunican con dominios legítimos del atacante. El proceso incluye:
Si la validación falla, el malware simplemente no se comunica. Esto reduce el riesgo de sinkholing o análisis por terceros.
El análisis de SafeBreach también reveló la estructura interna de los servidores de comando y control. Entre los directorios detectados destacan:
Esta organización demuestra que no se trata de campañas improvisadas, sino de infraestructura pensada para durar años.
La versión más reciente de Tonnerre incorpora un mecanismo para comunicarse con un grupo privado de Telegram llamado “سرافراز” (“orgulloso” en persa). Allí interactúan:
Lo interesante es que no todas las víctimas pueden activar este canal. Solo ciertos identificadores únicos (GUIDs) permiten descargar el archivo que contiene la información de Telegram, lo que indica un alto nivel de segmentación y control.
Esto reduce exposición y limita el análisis por parte de investigadores.
Además de las versiones actuales, SafeBreach identificó malware adicional usado por Infy entre 2017 y 2020, como:
Esto confirma que Infy mantiene un ecosistema de herramientas reutilizables, algo típico de actores estatales maduros.
Lee más: Microsoft: Hackers iraníes usan MediaPl contra investigadores
Este resurgimiento ocurre en paralelo con nuevas revelaciones sobre Charming Kitten y su relación con operaciones como Moses Staff. Investigaciones recientes muestran que muchos de estos grupos comparten infraestructura, procesos y hasta modelos administrativos, como si fueran departamentos distintos dentro de una misma organización.
En otras palabras: el ciberespionaje iraní funciona más como una estructura estatal organizada que como colectivos independientes.
El regreso de Infy deja varias lecciones clave:
Desde TecnetOne, insistimos en que la defensa efectiva no se basa solo en reaccionar a lo nuevo, sino en no olvidar a los adversarios que ya demostraron paciencia y capacidad.
Infy demuestra que en ciberseguridad nadie se jubila realmente. Un grupo que parecía inactivo reaparece con malware más robusto, mejor infraestructura y técnicas más refinadas.
Si tu estrategia de seguridad se basa únicamente en las amenazas de moda, estás dejando la puerta abierta a actores que llevan más de una década perfeccionando el arte del espionaje digital.
La vigilancia continua, el análisis de comportamiento y la memoria histórica ya no son opcionales. Son la única forma de no ser sorprendido por quienes nunca se fueron.