Hackers iranianos retomam operações após fim do apagão de internet no país
O grupo de ciberespionagem iraniano conhecido como Infy – também chamado de Prince of Persia – voltou a operar com força total logo após o restabelecimento gradual da internet no Irã, no fim de janeiro de 2026. Pesquisas recentes mostram que, assim que a conectividade começou a ser restaurada, novos servidores de comando e controle (C2) foram ativados, indicando uma retomada coordenada de campanhas maliciosas e reforçando a tese de que o grupo atua alinhado a interesses estatais.
De acordo com análise técnica publicada por especialistas da SafeBreach, o Infy havia interrompido por completo a manutenção de sua infraestrutura C2 em 8 de janeiro de 2026. Esse tipo de pausa total é considerado atípico na trajetória do grupo, que vinha sendo monitorado há anos sem registros de uma suspensão tão abrupta. A data coincide diretamente com o início do bloqueio nacional de internet imposto pelas autoridades iranianas em resposta a fortes protestos internos, o que sugere que, mesmo unidades ligadas ao aparato cibernético estatal, tiveram suas operações impactadas ou estrategicamente interrompidas.
A volta à ativa foi registrada em 26 de janeiro de 2026, quando os pesquisadores detectaram a criação e configuração de novos servidores C2 associados ao Infy. O detalhe mais revelador é que essa movimentação ocorreu um dia antes de o governo iraniano aliviar formalmente as restrições de acesso à internet. Para analistas, esse sincronismo dificilmente é mera coincidência: ele aponta para um nível de coordenação que tende a existir apenas quando há relacionamento direto com estruturas oficiais de Estado ou, no mínimo, alinhamento estreito com metas estratégicas governamentais.
Embora não seja tão famoso quanto outros grupos patrocinados pelo Irã, o Infy é considerado um dos atores mais antigos ainda em operação contínua no cenário de ciberameaças. Há indícios de atividade desde 2004, o que lhe confere quase duas décadas de experiência acumulada. Ao longo desse tempo, o grupo se especializou em operações silenciosas e altamente direcionadas, priorizando espionagem e coleta de informação sensível em vez de ataques ruidosos ou destrutivos. Esse perfil discreto contribuiu para que permanecesse relativamente fora dos holofotes, enquanto outros coletivos iranianos ganhavam maior notoriedade.
Relatórios do final de 2025 já indicavam uma evolução perceptível no “tradecraft” do Infy – ou seja, em seu conjunto de técnicas, ferramentas e procedimentos. Um dos pontos mais marcantes foi a atualização de duas famílias de malware usadas pelo grupo, Foudre e Tonnerre. A variante mais moderna do Tonnerre, batizada de Tornado, passou a utilizar o Telegram como um dos canais para receber comandos e exfiltrar dados roubados, aproveitando-se da popularidade e da infraestrutura resiliente do aplicativo de mensagens.
Na versão Tornado v51, observou-se uma combinação de comunicação via HTTP tradicional com o uso do Telegram, criando um canal híbrido mais resiliente. Essa abordagem dificulta a detecção e o bloqueio pelo lado das vítimas, já que o tráfego malicioso tende a se misturar com comunicações aparentemente legítimas. Ao ampliar a redundância da infraestrutura C2, o Infy aumenta suas chances de manter acesso persistente a sistemas comprometidos, mesmo diante de ações de resposta a incidentes.
Outro aspecto técnico relevante é a adoção de mecanismos avançados para geração de domínios C2. Os analistas identificaram o uso de um novo algoritmo de geração de domínios (DGA), combinado com nomes fixos obtidos por meio de dados armazenados em blockchain. Essa estratégia permite ao grupo criar e alternar rapidamente entre múltiplos domínios de controle, reduzindo a necessidade de atualizar os malwares já distribuídos e dificultando a vida de equipes de defesa que tentam bloquear esses endereços em massa.
As investigações apontam ainda para a exploração de uma vulnerabilidade recente no WinRAR (associada às falhas catalogadas como CVE-2025-8088 ou CVE-2025-6218) para facilitar a entrega do payload Tornado. Arquivos RAR especialmente manipulados foram enviados para análise na plataforma VirusTotal a partir de origens na Alemanha e na Índia, sugerindo que organizações nesses países podem ter sido alvo das campanhas do Infy ou, ao menos, utilizadas como vetores de teste e disseminação.
Além do Tornado, a equipe de pesquisa identificou conexões entre o Infy e outras operações maliciosas, incluindo o uso do malware ZZ Stealer. Nesse contexto, o ZZ Stealer funciona como etapa inicial da cadeia de infecção: ele coleta informações do ambiente comprometido, realiza capturas de tela, obtém arquivos da área de trabalho e outros dados sensíveis. Somente após esse reconhecimento preliminar é que cargas adicionais, como o próprio Tornado, são acionadas sob orientação dos servidores de comando e controle.
Para os especialistas da SafeBreach, o conjunto de evidências demonstra que o Infy continua em franco processo de modernização técnica. O grupo vem ampliando sua capacidade de furtividade, resiliência e alcance operacional em um contexto no qual operações cibernéticas patrocinadas por Estados têm papel central em disputas geopolíticas, sabotagem econômica, espionagem industrial e monitoramento de opositores.
Por que o retorno do Infy preocupa a comunidade de cibersegurança
O reaparecimento do Infy logo após o fim do apagão de internet no Irã não é apenas um dado curioso de cronologia. Ele levanta alertas importantes para governos, empresas e organizações em todo o mundo. Grupos com forte viés de espionagem tendem a mirar alvos estratégicos, como instituições governamentais, empresas de defesa, energia, telecomunicações, universidades e think tanks envolvidos em pesquisa sensível.
Além disso, o modus operandi do Infy privilegia campanhas discretas, de baixo ruído e longa duração. Em vez de causar impacto imediato e visível, como ransomware, o grupo busca se manter por meses ou anos dentro das redes, coletando documentos, credenciais, fluxos de e-mail e outros ativos de alto valor. Isso torna a detecção muito mais complexa e exige maturidade dos programas de segurança das vítimas potenciais.
Outro elemento preocupante é a provável ligação com interesses estatais. Quando um grupo tem acesso a recursos, inteligência e proteção política de um governo, tende a operar com mais confiança e persistência. Sanções, processos judiciais e operações de derrubada de infraestrutura têm impacto mais limitado, já que a organização pode se recompor com apoio logístico, financeiro e técnico em seu país de origem.
Alvos potenciais e setores em risco
Historicamente, grupos ligados ao Irã focam seus esforços em regiões e setores diretamente conectados a interesses estratégicos de Teerã. Isso inclui, por exemplo:
– Órgãos governamentais e diplomáticos de países considerados adversários ou neutros, mas influentes em fóruns internacionais;
– Empresas do setor de energia, especialmente petróleo, gás e infraestrutura crítica;
– Companhias de tecnologia, telecomunicações e defesa;
– Organizações de pesquisa acadêmica envolvidas em temas como energia nuclear, criptografia, geopolítica e segurança internacional;
– Jornalistas, ativistas, diáspora iraniana e opositores políticos no exterior.
O fato de amostras relacionadas ao Tornado surgirem a partir de Alemanha e Índia indica que o Infy não se limita ao Oriente Médio. Empresas brasileiras, latino-americanas ou europeias com relações comerciais, diplomáticas ou tecnológicas relevantes podem, sim, entrar no radar desse tipo de ator.
Como funciona a cadeia de ataque típica do Infy
Embora cada campanha possa variar, a análise de casos recentes permite esboçar uma cadeia de ataque provável:
1. Engenharia social e phishing direcionado
Envio de e-mails personalizados, por vezes com temática política, diplomática ou de negócios, contendo anexos maliciosos (como arquivos RAR explorando falhas do WinRAR) ou links para download de documentos comprometidos.
2. Exploração de vulnerabilidades
Uso de falhas conhecidas, mas nem sempre corrigidas em softwares amplamente utilizados, como suítes de escritório, ferramentas de compressão ou plugins de navegador.
3. Infecção inicial com stealer ou downloader
Implantação de malwares como o ZZ Stealer para mapear o ambiente, coletar credenciais e preparar o terreno para cargas mais complexas.
4. Implantação do Tornado ou outros backdoors
Uma vez conquistado acesso estável, o grupo instala backdoors mais robustos, capazes de receber comandos via HTTP, Telegram ou outros canais híbridos de C2.
5. Movimentação lateral e escalonamento de privilégios
O invasor tenta se mover pela rede, comprometer outros dispositivos, acessar servidores e contas privilegiadas, aumentando seu domínio sobre o ambiente.
6. Exfiltração de dados e persistência
Informações selecionadas são exfiltradas de forma gradual e discreta, muitas vezes disfarçadas de tráfego legítimo. Ao mesmo tempo, são criados múltiplos pontos de persistência para garantir a permanência mesmo que parte da intrusão seja descoberta.
Medidas de proteção recomendadas para organizações
Diante da sofisticação do Infy e de grupos semelhantes, defesas puramente reativas deixam de ser suficientes. Entre as principais recomendações para empresas e instituições estão:
– Gestão rigorosa de patches e atualizações: vulnerabilidades em softwares populares, como no caso do WinRAR, são rapidamente incorporadas aos arsenais de atores avançados. Manter sistemas atualizados é medida básica, mas crítica.
– Segmentação de rede e princípio do menor privilégio: limitar o alcance de uma eventual intrusão reduz o impacto de movimentações laterais. Contas e acessos privilegiados devem ser estritamente controlados.
– Monitoramento contínuo de anomalias: soluções de detecção e resposta (EDR/XDR), aliados a equipes treinadas, aumentam as chances de identificar comportamentos suspeitos antes de grandes vazamentos.
– Treinamento em conscientização de segurança: campanhas de phishing direcionado são uma das principais portas de entrada. Educar colaboradores sobre anexos suspeitos, engenharia social e boas práticas de senha é essencial.
– Planos de resposta a incidentes bem testados: não basta ter um documento formal; é preciso realizar simulações e exercícios para que a equipe saiba exatamente como agir em caso de comprometimento.
Impactos para o Brasil e para o cenário latino-americano
Mesmo que a América Latina não figure, tradicionalmente, como principal alvo de grupos iranianos, o aumento da relevância econômica, política e energética da região tende a atrair maior atenção. Investimentos em infraestrutura crítica, exploração de petróleo e gás, bem como a presença de grandes empresas de tecnologia e finanças, colocam organizações latino-americanas no mapa de possíveis vítimas.
Outro ponto de atenção é a inserção de empresas brasileiras em cadeias globais de fornecimento. O comprometimento de um fornecedor ou parceiro em um país considerado “periférico” pode servir de porta de entrada para ataques contra alvos finais em nações com maior peso geopolítico. Nesse cenário, elevar o nível de maturidade em segurança digital deixa de ser opcional.
Evolução contínua do Infy e tendência para o futuro
O histórico do Infy mostra um padrão claro de adaptação constante. O grupo acompanha de perto novas vulnerabilidades, adota canais de comunicação alternativos (como o Telegram) e explora tecnologias emergentes, como o uso criativo de dados em blockchain para registrar domínios C2. Esse comportamento sugere que veremos, nos próximos anos, versões ainda mais furtivas de suas ferramentas.
Ao mesmo tempo, a saturação de técnicas já amplamente conhecidas leva esses atores a buscar formas inovadoras de se esconder em meio ao tráfego legítimo. Comunicação disfarçada em serviços em nuvem, uso de inteligência artificial para adaptar campanhas de phishing e maior automação na geração de infraestrutura maliciosa são tendências que devem se intensificar.
Conclusão: um alerta sobre a profissionalização do cibercrime estatal
O retorno coordenado do Infy após o restabelecimento da internet no Irã reforça um recado incômodo: grupos de ciberespionagem ligados a Estados estão cada vez mais organizados, resilientes e tecnicamente avançados. Longe de atuar como hackers isolados, funcionam de maneira semelhante a unidades de inteligência, com planejamento, hierarquia, especialização e metas de longo prazo.
Para governos, empresas e instituições brasileiras, compreender esse cenário é o primeiro passo. O segundo é transformar essa compreensão em ação concreta: investimentos em tecnologia, processos de segurança bem estruturados e capacitação de pessoas. Em um ambiente em que fronteiras físicas têm cada vez menos importância, estar preparado para enfrentar atores como o Infy deixou de ser um diferencial competitivo e passou a ser requisito básico de sobrevivência digital.