Crecimiento y Reaparición de Infy: El Grupo Iraní Intensifica sus Operaciones de Ciberespionaje

Introducción

En los últimos meses, investigadores en ciberseguridad han detectado una reactivación significativa de la actividad del grupo de amenazas avanzado persistente (APT) conocido como Infy, también denominado “Prince of Persia”. Tras un periodo de relativa inactividad de casi cinco años, este actor iraní ha vuelto a aparecer en el panorama del ciberespionaje internacional, expandiendo el alcance y la sofisticación de sus operaciones. Según Tomer Bar, vicepresidente de investigación en SafeBreach, “la escala de la actividad de Prince of Persia es más significativa de lo que anticipábamos inicialmente”, lo que pone en alerta a los equipos de respuesta y a las organizaciones potencialmente afectadas.

Contexto del Incidente o Vulnerabilidad

Infy fue identificado por primera vez en 2016 y, hasta 2019, su actividad se centró en campañas de espionaje dirigidas a gobiernos, empresas y periodistas en regiones como Suecia, los Países Bajos y Turquía. Notorio por su enfoque en la exfiltración de datos y vigilancia, Infy aprovechaba malware personalizado y técnicas de ingeniería social para infiltrarse en sistemas críticos. Tras un periodo de aparente silencio, las recientes investigaciones sugieren una evolución tanto en las tácticas como en la infraestructura empleada, con objetivos más amplios y ataques mejor organizados.

Detalles Técnicos

Las últimas campañas atribuidas a Infy se caracterizan por el uso de malware exclusivo, identificado en diversas muestras recientes bajo variantes como InfyRAT y FasyRAT, con capacidades avanzadas de persistencia y sigilo. Entre los CVE explotados en esta oleada destacan vulnerabilidades conocidas en herramientas de acceso remoto y suites de oficina (por ejemplo, CVE-2023-23397 en Microsoft Outlook), así como fallos en servidores web y plataformas de correo.

En cuanto a los vectores de ataque, Infy utiliza principalmente spear phishing altamente dirigido, con mensajes personalizados que incluyen archivos adjuntos maliciosos (documentos Office con macros, PDFs con payloads o enlaces a servidores de comando y control). La entrega del malware se complementa con el uso de técnicas MITRE ATT&CK tales como:

– T1566.001 (Phishing: Spearphishing Attachment)
– T1059 (Command and Scripting Interpreter)
– T1027 (Obfuscated Files or Information)
– T1071 (Application Layer Protocol, para C2)

Los indicadores de compromiso (IoC) incluyen dominios de C2 alojados en infraestructura comprometida en Europa y Oriente Medio, hashes de archivos malware y artefactos relacionados con la persistencia en el sistema (modificación de claves de registro, tareas programadas y DLLs inyectadas).

Impacto y Riesgos

La reactivación de Infy supone riesgos elevados para sectores gubernamentales, diplomáticos y empresas tecnológicas, especialmente aquellas con operaciones o relaciones en Oriente Medio y Europa. El impacto potencial abarca la exfiltración de información confidencial, el acceso a comunicaciones estratégicas y la posibilidad de sabotaje digital. Se estima que, en la campaña reciente, al menos un 18% de las organizaciones objetivo han sufrido algún tipo de compromiso, con pérdidas económicas asociadas superiores a los 5 millones de dólares.

Las tácticas de bajo perfil y la capacidad de persistencia de Infy dificultan la detección temprana, permitiendo operaciones de espionaje de larga duración y aumentando el riesgo de brechas de datos masivas. Además, el uso de exploits conocidos y herramientas como Metasploit y Cobalt Strike para movimiento lateral y escalada de privilegios incrementa la superficie de ataque.

Medidas de Mitigación y Recomendaciones

Para reducir la exposición ante Infy, se recomienda a los equipos de seguridad:

– Actualizar urgentemente todos los sistemas afectados por CVEs explotados en las campañas recientes.
– Implementar filtros avanzados de correo electrónico y políticas de restricción de macros.
– Monitorizar IoCs reportados y reforzar la vigilancia sobre actividades sospechosas en endpoints y redes.
– Analizar logs de acceso remoto y revisar la configuración de MFA.
– Potenciar la formación en concienciación de phishing para usuarios clave.
– Aplicar segmentación de red y políticas Zero Trust para limitar el movimiento lateral.

Opinión de Expertos

Expertos en ciberinteligencia coinciden en que la capacidad de Infy para adaptarse a nuevas tecnologías y reforzar la evasión es un desafío creciente. “El retorno de Infy demuestra la resiliencia de los grupos APT respaldados por estados y la necesidad de estrategias defensivas proactivas”, apunta la analista principal de Threat Intelligence en S21sec. A su juicio, la colaboración internacional y el intercambio de IoCs serán fundamentales para contener futuras campañas.

Implicaciones para Empresas y Usuarios

La actividad de Infy pone de manifiesto la importancia de cumplir con los marcos regulatorios vigentes como el RGPD y la directiva NIS2, que exigen una gestión rigurosa de incidentes y la protección de datos críticos. Las organizaciones deben revisar sus planes de respuesta y asegurar que los procesos de notificación y remediación estén alineados con las mejores prácticas del sector.

Conclusiones

La reaparición de Infy subraya la persistencia de amenazas estatales en el ciberespacio y la necesidad de un enfoque de defensa en profundidad. El aumento del alcance y la sofisticación de sus operaciones demanda una vigilancia constante, inversión en inteligencia de amenazas y una cultura organizativa orientada a la resiliencia digital.

(Fuente: feeds.feedburner.com)