Netcrook Logo
👤 WHITEHAWK
🗓️ 18 Dec 2025   🌍 Middle-East

Resurrección en las Sombras: El Equipo de Ciberespionaje Más Antiguo de Irán Regresa de la Muerte

Subtítulo: Tras años de aparente silencio, el escurridizo APT “Príncipe de Persia” está de vuelta - más sigiloso, sofisticado y persistente que nunca, apuntando a disidentes en todo el mundo.

Durante años, fue la historia de fantasmas del ciberespionaje iraní: una amenaza persistente avanzada (APT) tan antigua que su nombre se había desvanecido de la memoria, eclipsada por contemporáneos más ruidosos. Pero ahora, “Príncipe de Persia” - también conocido como “Infy” - ha vuelto a los titulares, y su regreso es una lección escalofriante de paciencia, sigilo y el arte en evolución de la represión digital.

El Operador Silencioso

Mientras que la mayoría de los grupos de ciberespionaje buscan notoriedad, Príncipe de Persia perfeccionó el arte de la invisibilidad. Expuesto por primera vez hace más de una década, la actividad del grupo se remonta a 2004 - siendo contemporáneo de actores legendarios como Turla y APT1. Sin embargo, para 2018, se creía ampliamente que estaba extinto, y su huella digital desapareció después de 2021. ¿La verdad? Príncipe de Persia simplemente mejoró su capacidad para ocultarse.

Según una nueva investigación de SafeBreach, el grupo ha mantenido una campaña continua contra disidentes iraníes y objetivos globales en Irak, Turquía, India, Europa y Canadá. Su arsenal, centrado en las familias de malware “Foudre” y “Tonnerre”, ha evolucionado para evadir casi toda detección. Estas herramientas ahora se entregan en archivos de apariencia inofensiva - como documentos de Microsoft Excel - que pasan por alto las defensas antivirus con alarmante facilidad.

La Criptografía como Capa

Lo que distingue a Príncipe de Persia no es solo su longevidad, sino su ingenio técnico. Foudre, una herramienta ligera de reconocimiento, y Tonnerre, una robusta plataforma de espionaje, protegen sus comunicaciones con criptografía de última generación. Foudre, por ejemplo, genera cientos de posibles dominios de comando y control (C2) cada semana, pero solo confía en servidores que puedan demostrar la posesión de una clave privada secreta - haciendo inútiles las tácticas tradicionales de desmantelamiento.

Tonnerre, por su parte, utiliza la plataforma de mensajería Telegram para un C2 encubierto, pero con un giro: recupera las claves de acceso de forma dinámica, sin dejar pistas para los investigadores. Tal nivel de seguridad operativa es raro incluso entre actores estatales occidentales, según investigadores veteranos.

Apoyo Estatal y Supervivencia

Esta resiliencia ha sido favorecida por algo más que destreza técnica. En 2016, cuando Unit 42 de Palo Alto Networks intentó neutralizar la infraestructura de Príncipe de Persia, la empresa estatal de telecomunicaciones de Irán intervino - bloqueando el desmantelamiento y redirigiendo el tráfico de vuelta a los atacantes. Desde entonces, la infraestructura del grupo ha permanecido intocable.

A medida que se intensifica la represión digital en Irán, la persistencia fantasmal de Príncipe de Persia es una advertencia contundente: en el mundo sombrío del ciberespionaje, el silencio puede ser el arma definitiva.

Conclusión

El resurgimiento de Príncipe de Persia destruye cualquier ilusión de que las viejas amenazas simplemente desaparecen. En cambio, se adaptan, aprenden y - respaldadas por recursos estatales - continúan su labor silenciosa en las sombras digitales, recordándonos que en ciberseguridad, lo que no ves puede ser lo que más daño te cause.

WIKICROOK

  • APT (Amenaza Persistente Avanzada): Una Amenaza Persistente Avanzada (APT) es un ciberataque dirigido y de largo plazo por grupos expertos, a menudo respaldados por estados, que buscan robar datos o interrumpir operaciones.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • Malware: El malware es un software dañino diseñado para infiltrarse, dañar o robar datos de dispositivos informáticos sin el consentimiento del usuario.
  • Algoritmo de Generación de Dominios (DGA): Un DGA crea numerosos dominios para que el malware contacte con servidores C2, ayudando a los atacantes a evadir la detección y los intentos de desmantelamiento.
  • Verificación de Firma RSA: La verificación de firma RSA confirma la autenticidad e integridad de mensajes digitales usando criptografía de clave pública, garantizando comunicaciones seguras y confiables.
Iran Cyber Espionage Prince of Persia Advanced Persistent Threat
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news