Office Address
Seville, Spain
Seville, Spain
Phone Number
+(34) 624 816 969
Email Address
Available on Google Play
Seville, Spain
Seville, Spain
+(34) 624 816 969
by ForgeNEX Table of contents [Show]
Los cazadores de amenazas han detectado nueva actividad asociada al actor de amenazas iraní conocido como Infy, también denominado 'Príncipe de Persia', tras casi cinco años de aparente inactividad. Este grupo, que anteriormente había sido observado atacando objetivos en Suecia, Países Bajos y Turquía, ha resurgido con nuevas capacidades maliciosas que han sorprendido a los investigadores de seguridad.
Infy es un grupo de amenaza persistente avanzada (APT) vinculado a intereses estatales iraníes, conocido por sus sofisticadas campañas de espionaje cibernético. La denominación 'Príncipe de Persia' proviene de patrones específicos en su infraestructura y técnicas de ataque que los investigadores han rastreado durante años. Tras su última actividad documentada en 2020, el grupo había mantenido un perfil bajo, lo que llevó a muchos analistas a especular sobre su posible desmantelamiento o reestructuración.
La nueva actividad detectada sugiere que Infy no solo ha permanecido operativo, sino que ha utilizado este período de silencio para desarrollar nuevas herramientas y tácticas. Según Tomer Bar, vicepresidente de investigación de seguridad en SafeBreach, "la escala de la actividad del Príncipe de Persia es más significativa de lo que originalmente anticipábamos", indicando que el grupo ha expandido considerablemente sus capacidades operativas.
Los investigadores han identificado que Infy emplea una combinación de técnicas que incluyen spear-phishing sofisticado, explotación de vulneraciones de día cero en software empresarial, y el uso de malware personalizado diseñado para evadir detección. El grupo muestra preferencia por atacar organizaciones gubernamentales, instituciones de investigación y empresas del sector energético, aunque su reciente reaparición podría indicar una expansión de sus objetivos.
La infraestructura técnica utilizada por Infy incluye servidores de comando y control (C2) distribuidos globalmente, dominios falsos que imitan organizaciones legítimas, y técnicas de ofuscación avanzada para sus payloads maliciosos. Los analistas destacan que el grupo ha mejorado significativamente sus capacidades de persistencia en sistemas comprometidos, dificultando su detección y erradicación.
Para las organizaciones potencialmente en el radar de grupos APT como Infy, los expertos recomiendan implementar las siguientes medidas de seguridad:
1. Monitoreo avanzado de red: Implementar sistemas de detección de intrusiones (IDS) y soluciones de respuesta extendida (XDR) que puedan identificar patrones de tráfico anómalos y comportamientos sospechosos asociados con técnicas APT.
2. Parcheo proactivo: Mantener todos los sistemas y aplicaciones actualizados con los últimos parches de seguridad, prestando especial atención a software empresarial comúnmente explotado por grupos APT.
3. Capacitación en concienciación: Entrenar regularmente al personal en el reconocimiento de ataques de spear-phishing y otras técnicas de ingeniería social utilizadas por actores avanzados.
4. Segmentación de red: Implementar una arquitectura de red segmentada que limite el movimiento lateral en caso de compromiso, aislando sistemas críticos de áreas menos sensibles.
5. Análisis de inteligencia de amenazas: Suscribirse a feeds de inteligencia de amenazas que proporcionen indicadores de compromiso (IOCs) y tácticas, técnicas y procedimientos (TTPs) asociados con grupos APT iraníes.
La reaparición de Infy coincide con un período de tensiones geopolíticas regionales, sugiriendo que los actores estatales iraníes podrían estar intensificando sus operaciones cibernéticas. Los analistas advierten que esta actividad podría ser precursora de campañas más amplias dirigidas a objetivos estratégicos en Europa y Oriente Medio.
La comunidad de seguridad cibernética debe prepararse para una posible escalada en la sofisticación y frecuencia de los ataques atribuidos a grupos APT iraníes. La capacidad de Infy para permanecer en silencio durante años y reaparecer con capacidades mejoradas subraya la necesidad de enfoques de seguridad proactivos y basados en inteligencia.
Fuente original: The Hacker News. Adaptado y analizado por el equipo de ForgeNEX.