APT iraniano Infy volta a aparecer com novas versões de Foudre e Tonnerre

A campanha combina phishing, documentos Excel com executável embutido, DGA, validação RSA de C2 e integração seletiva com Telegram para vigilância de alvos individuais.

Componente	Ator Infy, também conhecido como Prince of Persia, usando o downloader e profiler Foudre e o implante Tonnerre.
Vetor	Campanhas de phishing com documentos Microsoft Excel; a cadeia mais recente substitui macros por executável embutido para instalar Foudre.
Impacto	Vigilância direcionada de indivíduos, extração de dados de máquinas de alto valor e acesso a conversas do Telegram a partir do endpoint comprometido.
Prioridade	Caçar artefatos de Foudre e Tonnerre, revisar telemetria de documentos Excel com executáveis embutidos e investigar padrões de C2 com DGA, validação RSA e diretórios dedicados a logs e arquivos exfiltrados.
Versões	Foram observadas Foudre versão 34 e Tonnerre versões 12 a 18 e 50; a versão mais recente de Tonnerre foi detectada em setembro de 2025.
Artefatos	Infraestrutura com diretórios como `key`, `r`, `download` e `t`, além do arquivo `tga.adr` usado para entregar dados de grupo Telegram somente a GUIDs de vítimas permitidos.

Resumo técnico

O APT iraniano Infy, também rastreado como Prince of Persia, voltou a apresentar atividade de malware após um período em que parecia menos visível. O conjunto observado mantém foco em vigilância direcionada contra indivíduos, não em exploração ampla de redes corporativas. A campanha citada envolve vítimas no Irã, Iraque, Turquia, Índia, Canadá e Europa, com uso de versões atualizadas do downloader e profiler Foudre e do implante Tonnerre. A linha histórica do grupo é longa, com sinais de atividade desde dezembro de 2004, o que torna a retomada relevante para equipes de inteligência de ameaças que acompanham operações iranianas persistentes e de baixo ruído.

A operação preserva características de coleta seletiva. Foudre atua como estágio inicial para reconhecer o ambiente da vítima e entregar Tonnerre, que é associado à coleta de dados de máquinas consideradas valiosas. A atividade documentada também aponta interesse em conteúdo do Telegram. Como as mensagens são protegidas durante o trânsito, o valor ofensivo para o operador está no endpoint já comprometido, onde o malware pode observar ou capturar conteúdo localmente. Esse ponto altera a leitura defensiva: não se trata de quebrar criptografia de transporte, mas de comprometer o dispositivo em que a sessão e os dados do usuário já estão acessíveis.

Fluxo técnico

A cadeia de infecção continua baseada em phishing, mas há mudança importante no documento inicial. Em campanhas anteriores, documentos Microsoft Excel com macros eram usados para iniciar a execução. Na atividade mais recente, a técnica descrita passa a embutir um executável dentro do documento para instalar Foudre. Para defesa, isso desloca parte da atenção de bloqueios tradicionais de macro para inspeção de anexos Office com objetos incorporados, extração de conteúdo OLE, relação pai-filho entre aplicativos de escritório e processos executáveis, além de eventos de gravação de binários em diretórios temporários ou de perfil de usuário.

Depois da instalação, Foudre entrega Tonnerre como segundo estágio. Os artefatos mais recentes incluem Foudre versão 34 e múltiplas versões de Tonnerre, incluindo 12 a 18 e 50. A versão mais nova de Tonnerre foi detectada em setembro de 2025. A infraestrutura de comando e controle usa algoritmo de geração de domínios para aumentar resiliência. Esse desenho permite alternar ou validar domínios sem depender de um único endereço estático e dificulta bloqueios simples baseados em lista curta de indicadores.

Outro componente relevante é a validação criptográfica do C2. Foudre e Tonnerre verificam se o domínio de comando e controle é legítimo por meio de um arquivo de assinatura RSA baixado de um caminho associado ao diretório key. O malware usa chave pública embutida para validar a assinatura e compará-la a dados locais de validação. Essa lógica reduz a chance de pesquisadores ou defensores redirecionarem facilmente o fluxo para infraestrutura falsa sem replicar a condição esperada pelo malware.

Tonnerre também incorporou um mecanismo ligado ao Telegram. O implante pode obter, por intermédio do C2, informações sobre um grupo Telegram específico. O dado não é entregue de forma ampla: o servidor só retorna o arquivo tga.adr após comparar o GUID da máquina enviada com uma lista de vítimas autorizadas. Quando a máquina passa nessa verificação, o servidor responde com redirecionamento HTTP para o arquivo dentro do diretório t. Essa restrição por GUID sugere controle operacional seletivo e reduz exposição do recurso para ambientes de análise que não reproduzam uma vítima aprovada.

Superfície afetada

A superfície principal está nos usuários que recebem anexos de phishing, especialmente documentos Excel capazes de carregar executáveis embutidos. A campanha é descrita como direcionada a indivíduos de alto valor, incluindo perfis historicamente compatíveis com dissidentes e acadêmicos. Ambientes que tratam documentos de origem externa, endpoints com sessão ativa em mensageiros e estáções sem controle rígido de criação de processo a partir de aplicativos Office ficam mais expostos ao fluxo observado.

Do lado de infraestrutura, a superfície de detecção inclui comunicações HTTP(S) com domínios gerados dinamicamente, tentativas de baixar assinatura RSA em caminho key, tráfego relacionado a redirecionamento para tga.adr, diretórios de C2 usados para logs de comunicação e armazenamento de arquivos exfiltrados criptografados. Também há referência a um diretório download, cujo uso atual não foi confirmado, mas que é suspeito de estar ligado a download ou atualização de novas versões.

Endpoints de usuários que abrem documentos Excel recebidos por phishing e permitem objetos executáveis embutidos.
Máquinas com uso de Telegram local, pois a coleta descrita depende do comprometimento do dispositivo da vítima.
Ambientes em que aplicativos Office conseguem criar processos, gravar binários ou iniciar conexões externas sem contenção.
Controles de rede que dependem apenas de domínios estáticos, já que a campanha usa DGA e validação criptográfica de C2.

Hunting e telemetria

A caça deve começar pela sequência de execução: documento Excel recebido externamente, objeto incorporado, criação de executável e início de comunicação de rede por processo recém-criado. O detalhe defensivo mais útil é correlacionar telemetria de e-mail, endpoint e rede em torno do primeiro contato com o anexo. Mesmo sem hashes no material analisado, eventos de extração de objeto, gravação de arquivo executável a partir de um processo Office e execução subsequente são fortes sinais para triagem.

Na rede, a atenção deve recair sobre padrões de validação do C2. Requisições para caminhos contendo key e arquivos de assinatura, seguidas por tráfego para domínios variáveis, podem indicar a rotina de autenticação da infraestrutura. A presença de redirecionamento HTTP para tga.adr é particularmente sensível, porque o fluxo depende de GUID de vítima autorizado. Caso esse padrão apareça, a máquina envolvida deve ser tratada como possível alvo aceito pelo operador, não apenas como execução genérica em sandbox.

Em endpoint, procure artefatos ligados a Foudre e Tonnerre, criação de arquivos temporários por Office, processos incomuns associados ao usuário que abriu o documento e comportamento de coleta de dados. Para organizações com visibilidade sobre mensageiros corporativos ou estáções com Telegram instalado, a prioridade é identificar acesso local anômalo a dados de sessão, arquivos de configuração e diretórios do aplicativo no mesmo período da execução suspeita.

Documento Excel originado de e-mail externo seguido de execução de binário ou processo filho incomum.
Conexões para domínios variáveis com tentativa de obter arquivo de assinatura em caminho key.
Redirecionamento HTTP para tga.adr após envio ou validação de GUID de máquina.
Atividade local relacionada ao Telegram em endpoint que também apresenta sinais de Foudre ou Tonnerre.
Tráfego ou artefatos associados a diretórios de C2 descritos como r, key, download e t.

Mitigação

A resposta deve priorizar contenção de endpoints que abriram documentos suspeitos e apresentaram criação de executável por Excel. A máquina deve ser isolada para preservar evidências, com coleta de memória, artefatos de persistência, histórico de processos, arquivos recentes, eventos de e-mail e conexões de rede. Como o objetivo da campanha inclui vigilância individual e possível coleta de conteúdo do Telegram a partir do dispositivo, a investigação precisa cobrir dados de usuário e aplicativos locais, não apenas indicadores de rede.

Na prevenção, bloqueie execução de objetos embutidos em documentos Office quando não houver necessidade operacional, aplique regras de redução de superfície de ataque para impedir que aplicativos de escritório criem processos filhos e revise permissões de gravação em diretórios temporários. Filtros de e-mail devem extrair e analisar documentos com conteúdo incorporado, enquanto EDR deve elevar severidade quando Excel ou outro aplicativo Office gravar ou iniciar executáveis. Para rede, combine bloqueio por reputação com detecção comportamental de DGA e inspeção de caminhos de validação RSA, já que o operador evita dependência de infraestrutura fixa.

A mitigação também exige revisão de identidade e dados acessíveis pelo endpoint comprometido. Senhas salvas, sessões abertas, chaves locais, arquivos sensíveis e contas usadas no período da execução devem ser avaliados. Quando houver indício de acesso a Telegram no dispositivo, encerre sessões remotas, revise dispositivos conectados e considere rotação de credenciais relacionadas à conta e aos serviços usados pela vítima. A validação final deve confirmar ausência de Foudre, Tonnerre e variantes relacionadas antes de devolver a estáção ao usuário.

Isolar endpoints com execução suspeita iniciada a partir de documentos Excel e preservar evidências para DFIR.
Bloquear ou restringir objetos executáveis embutidos em documentos Office recebidos de fontes externas.
Aplicar controles que impeçam Office de criar processos filhos ou gravar executáveis em caminhos de usuário.
Criar detecções para caminhos key, obtenção de assinatura RSA, DGA e redirecionamento para tga.adr.
Revisar sessões locais de Telegram e credenciais acessíveis na máquina quando houver indício de comprometimento.

APT iraniano Infy volta a aparecer com novas versões de Foudre e Tonnerre

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

APT iraniano Infy volta a aparecer com novas versões de Foudre e Tonnerre

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato