Hackers iranianos voltam à ativa após retorno da internet no país

O grupo hacker iraniano conhecido como Infy, também chamado de Prince of Persia, retomou suas operações cibernéticas com a ativação de novos servidores de comando e controle (C2) logo após o encerramento do apagão nacional de internet imposto pelo governo do Irã no início de janeiro de 2026. O movimento indica uma adaptação estratégica do grupo para ocultar suas atividades e reforça indícios de patrocínio estatal.

Segundo análise divulgada pela SafeBreach, o grupo interrompeu completamente a manutenção de seus servidores C2 em 8 de janeiro de 2026 fato inédito desde o início do monitoramento de suas atividades. A data coincide com o bloqueio generalizado da internet determinado pelas autoridades iranianas em resposta a protestos internos, sugerindo que até mesmo unidades cibernéticas associadas ao Estado ficaram impossibilitadas ou desmotivadas a operar durante o período.

A retomada das atividades foi observada em 26 de janeiro de 2026, quando o Infy passou a configurar novos servidores C2, um dia antes de o governo iraniano aliviar as restrições de conectividade. Para os pesquisadores, esse sincronismo fornece evidências concretas de que o grupo possui vínculos diretos com o Estado iraniano e opera alinhado a interesses estratégicos de Teerã.

Embora menos conhecido do que outros grupos patrocinados pelo Irã, o Infy é considerado um dos mais antigos ainda em atividade, com registros que remontam a 2004. Sua atuação é marcada por operações discretas e altamente direcionadas, focadas principalmente em espionagem e coleta de inteligência contra alvos específicos, o que contribuiu para que permanecesse fora do radar por longos períodos.

Relatórios publicados no final de 2025 já haviam apontado uma evolução no tradecraft do grupo, incluindo o uso de versões atualizadas dos malwares Foudre e Tonnerre. A versão mais recente do Tonnerre, denominada Tornado, passou a utilizar o Telegram como canal para emissão de comandos e exfiltração de dados. A nova iteração, Tornado v51, combina comunicação via HTTP e Telegram, ampliando a resiliência da infraestrutura C2.

Os pesquisadores identificaram ainda o uso de técnicas sofisticadas para geração de domínios C2, incluindo um novo algoritmo de geração de domínios (DGA) combinado com nomes fixos obtidos por meio de dados de blockchain, permitindo maior flexibilidade sem necessidade de atualização frequente do malware.

Outro ponto de destaque é a possível exploração de uma falha recente no WinRAR (CVE-2025-8088 ou CVE-2025-6218), utilizada para facilitar a entrega do payload Tornado. Arquivos RAR especialmente preparados foram enviados ao VirusTotal a partir da Alemanha e da Índia, indicando que esses países podem ter sido alvos das campanhas.

As análises também revelaram conexões entre o Infy e outras operações maliciosas, incluindo o uso do malware ZZ Stealer, além de possíveis correlações ainda que mais fracas com o grupo Charming Kitten. O ZZ Stealer atua como estágio inicial de infecção, coletando informações do ambiente, capturas de tela e arquivos da área de trabalho, antes de acionar cargas adicionais sob comando do C2.

Para a SafeBreach, o conjunto de evidências reforça que o Infy segue em plena evolução técnica, ampliando sua furtividade, resiliência e alcance operacional, em um cenário onde grupos patrocinados por Estados continuam a desempenhar um papel central nas disputas geopolíticas no ciberespaço.