El grupo Infy Hackers reactiva sus operaciones con nuevos servidores C2 luego de que finalizara el bloqueo de internet en Irán.

El grupo Infy Hackers, una entidad persistentemente asociada con campañas de ciberespionaje y actividades disruptivas dirigidas predominantemente a intereses geopolíticos específicos, ha reactivado su infraestructura de comando y control (C2) tras el levantamiento del bloqueo generalizado de internet impuesto en Irán. Esta reactivación, marcada por el despliegue de nuevos servidores C2 y tácticas adaptadas, subraya la resiliencia operativa del grupo y su capacidad para explotar ventanas de oportunidad en entornos de red fluctuantes. La naturaleza de esta reaparición sugiere una planificación estratégica anticipada, con la preparación de nueva infraestructura durante el período de inactividad forzada, lo que indica un actor de amenaza sofisticado y con recursos, potencialmente respaldado por el estado, que mantiene una agenda de inteligencia activa. La capacidad del grupo para reconfigurarse rápidamente y reanudar las operaciones representa un riesgo elevado para organizaciones gubernamentales, infraestructura crítica y entidades con intereses en la región o vinculadas a la disidencia política.

Contexto de la Amenaza

Infy Hackers es un grupo de ciberamenaza persistente (APT) con un historial documentado de operaciones cibernéticas que se remonta a varios años. Si bien su atribución precisa ha sido objeto de debate en la comunidad de inteligencia de amenazas, se les ha vinculado consistentemente con campañas de espionaje y recolección de inteligencia dirigidas contra entidades en el Medio Oriente y más allá, a menudo alineadas con los intereses estratégicos de la República Islámica de Irán. Sus objetivos típicos incluyen organizaciones gubernamentales, empresas de defensa, infraestructura crítica, instituciones financieras y figuras de alto perfil que podrían poseer información estratégica o tener influencia política.

El reciente bloqueo de internet en Irán, implementado en respuesta a disturbios internos y protestas significativas, representó un período de profunda interrupción para la conectividad global y las operaciones internas. Durante estos períodos de censura y desconexión, la capacidad de cualquier actor de amenaza, ya sea respaldado por el estado o independiente, para mantener la persistencia o iniciar nuevas campañas se ve gravemente comprometida, especialmente en lo que respecta a la exfiltración de datos y el mantenimiento de canales C2 externos. La interrupción de estas comunicaciones externas, sin embargo, no detiene la planificación interna o la preparación de la infraestructura. La reactivación de Infy Hackers inmediatamente después del restablecimiento de la conectividad no es una coincidencia, sino un testimonio de su previsión y persistencia. Este patrón sugiere que el grupo aprovechó el período de inactividad de la red para perfeccionar sus herramientas, establecer nuevas redes de C2 y preparar sus próximos movimientos, esperando el momento oportuno para reanudar sus operaciones ofensivas con una infraestructura más robusta y potencialmente más evasiva. La naturaleza de esta reactivación post-bloqueo puede indicar un enfoque renovado en la vigilancia interna o la represión de la disidencia, además de sus operaciones de ciberespionaje externas tradicionales.

Análisis Técnico y Tácticas

La reemergencia de Infy Hackers viene acompañada de una notable actualización en su arsenal técnico y sus metodologías operativas. Nuestro análisis de inteligencia de amenazas indica una evolución estratégica en su enfoque para eludir las defensas y mantener la persistencia.

Kill Chain y TTPs Observadas

El ciclo de vida de ataque (Kill Chain) empleado por Infy Hackers ha mostrado una adaptación para maximizar la sigilosidad y la resiliencia:

• Initial Access: Aunque las técnicas exactas varían, se ha observado que el grupo utiliza principalmente campañas de phishing altamente sofisticadas, a menudo con spear-phishing dirigido a empleados clave. Estos correos electrónicos están diseñados para parecer legítimos, incorporando temas de actualidad o señuelos específicos del rol del objetivo. También se han reportado casos de explotación de vulnerabilidades conocidas (CVEs) en public-facing applications y servicios VPN para obtener acceso inicial.
• Execution: Una vez que obtienen acceso, Infy Hackers emplea scripts (PowerShell, Python) y loaders personalizados para ejecutar sus payloads. A menudo, utilizan técnicas de living off the land (LotL) abusando de herramientas de sistema legítimas como cmd.exe, wuauclt.exe o mshta.exe para evadir la detección de Endpoint Detection and Response (EDR).
• Persistence: El grupo establece persistencia a través de la creación de nuevas Scheduled Tasks, modificaciones en el registro de Windows (Run keys), inyección en procesos legítimos o la instalación de nuevos servicios del sistema que se inician automáticamente. Estas técnicas buscan asegurar el acceso incluso después de reinicios del sistema o bloqueos.
• Privilege Escalation: Para elevar privilegios, se ha observado que Infy Hackers explota vulnerabilidades locales conocidas (LPEs) o abusa de configuraciones erróneas del sistema. En ocasiones, utilizan bypass de User Account Control (UAC) o DLL hijacking.
• Defense Evasion: La evasión de defensas es una prioridad para el grupo. Emplean ofuscación de código, packers personalizados, inyección de procesos en binarios legítimos y el uso de técnicas anti-forenses para borrar rastros. La infraestructura C2 actualizada incluye características destinadas a eludir la detección por parte de Network Intrusion Detection Systems (NIDS) y firewalls.
• Credential Access: Las técnicas para robar credenciales incluyen el dumping de memoria de LSASS (Local Security Authority Subsystem Service), el uso de herramientas como Mimikatz (a menudo modificadas o recompiladas), y la recolección de credenciales de browsers o administradores de contraseñas.
• Discovery: Después de establecer un punto de apoyo, el grupo realiza una fase de reconocimiento interno. Esto incluye el escaneo de la red interna (nmap, netstat), enumeración de dominios (Active Directory), identificación de recursos compartidos (SMB) y recopilación de información sobre el sistema operativo, los parches instalados y el software de seguridad.
• Lateral Movement: El movimiento lateral se logra a menudo a través de Remote Desktop Protocol (RDP), PsExec, Windows Management Instrumentation (WMI) o el abuso de Server Message Block (SMB) junto con el uso de credenciales robadas (pass-the-hash, pass-the-ticket).
• Collection: Una vez identificados los datos de interés, el grupo utiliza herramientas para empaquetar y comprimir la información, a menudo en formatos cifrados, preparándola para la exfiltración.
• Command and Control: La característica más destacada de esta reactivación es la nueva infraestructura C2. Utilizan conexiones cifradas (HTTPS sobre puertos no estándar) para camuflar el tráfico de C2 dentro del tráfico de red normal. También se han detectado DNS tunneling y el uso de protocols personalizados o proxies para mantener la comunicación en redes altamente monitoreadas.
• Exfiltration: La exfiltración de datos se realiza a menudo de manera escalonada, utilizando canales cifrados o cloud storage legítimos para disfrazar el movimiento de datos.
• Impact: El impacto final de sus operaciones incluye el ciberespionaje, la recolección de inteligencia, la interrupción de servicios y, potencialmente, la manipulación o corrupción de datos.

Infraestructura C2 Actualizada

La nueva infraestructura C2 de Infy Hackers demuestra una inversión considerable en resiliencia y anonimato. Los servidores C2 previamente identificados han sido abandonados en favor de una red distribuida que utiliza Virtual Private Servers (VPS) alquilados a diversos proveedores en jurisdicciones con leyes de privacidad más laxas. Hemos observado el uso de domain fronting y la rotación frecuente de dominios para dificultar el bloqueo y la atribución.

• Dominio y Hosting: Los nuevos dominios registrados están diseñados para parecer genéricos o relacionados con servicios legítimos de cloud computing. Los hosting providers varían ampliamente, lo que complica la tarea de desmantelamiento coordinado. Las direcciones IP asociadas a estos C2 se encuentran en rangos que no suelen estar en listas negras globales, y en ocasiones utilizan infraestructura de Content Delivery Networks (CDNs) legítimas para mezclar su tráfico con el tráfico legítimo.
• Protocolos de Comunicación: Además del HTTPS estándar sobre el puerto 443, se han identificado comunicaciones sobre puertos como 8080 y 8443, y también se ha detectado el uso de DNS over HTTPS (DoH) y DNS over TLS (DoT) para el tráfico C2, lo que dificulta el filtrado tradicional basado en DNS. El tráfico se cifra con algoritmos robustos y las claves se rotan con frecuencia.
• Beaconing y Resiliencia: El beaconing hacia los nuevos C2 es adaptativo, ajustándose dinámicamente según la detección de actividad de red o sandbox. Los payloads incluyen mecanismos de fallback a C2 secundarios o terciarios, garantizando que el grupo pueda mantener el control incluso si un servidor primario es desmantelado.

Vectores de Ataque y Malware

Si bien Infy Hackers es conocido por su adaptabilidad, la nueva fase de operaciones parece centrarse en una combinación de malware personalizado y el abuso de herramientas legítimas.

• Malware Personalizado: El grupo ha desplegado backdoors personalizados desarrollados en lenguajes como C++ o Go, que son más difíciles de analizar y detectar por signatures. Estos backdoors ofrecen capacidades completas de control remoto, incluyendo la carga de módulos adicionales, la ejecución de comandos y la transferencia de archivos. La ofuscación de cadenas y el uso de polymorphic code son características comunes.
• Herramientas «Living Off The Land» (LotL): El uso extensivo de herramientas integradas en el sistema operativo (PowerShell, WMIC, Net.exe) y frameworks de administración (Mimikatz, BloodHound, ProcDump) es una táctica clave. Esto reduce la huella de malware y permite a los atacantes mezclarse con el tráfico de red y la actividad del sistema legítimos.
• Exploits y Vulnerabilidades: Se ha observado un interés continuo en la explotación de vulnerabilidades en software de virtualización, VPN appliances y servidores de correo. El grupo mantiene una vigilancia activa sobre los Zero-Day Exploits y las vulnerabilidades recién divulgadas para incorporarlas rápidamente a su arsenal.

Impacto y Evaluación de Riesgo

La reactivación de Infy Hackers con infraestructura C2 renovada presenta un riesgo elevado y multifacético para una amplia gama de organizaciones y gobiernos a nivel global. La naturaleza de su actividad, predominantemente el ciberespionaje y la potencial interrupción, tiene implicaciones críticas para la seguridad nacional, la estabilidad económica y la privacidad individual.

• Gobiernos y Entidades de Defensa: Son objetivos primarios. La infiltración en redes gubernamentales puede llevar al robo de inteligencia clasificada, planes militares, datos de negociaciones diplomáticas y otra información sensible que podría ser utilizada para obtener ventajas geopolíticas o para la desestabilización. La interrupción de servicios gubernamentales críticos también es una amenaza real.
• Infraestructura Crítica: Empresas de energía, telecomunicaciones, transporte y servicios de agua son vulnerables. Un ataque exitoso podría resultar en interrupciones masivas de servicios, afectando la vida cotidiana de los ciudadanos y causando pérdidas económicas significativas. La capacidad de Infy Hackers para desplegar malware persistente los convierte en un actor peligroso para el control de sistemas SCADA/ICS.
• Empresas del Sector Privado: Empresas con propiedad intelectual valiosa, secretos comerciales, datos de investigación y desarrollo, especialmente en sectores como tecnología, energía y defensa, son objetivos atractivos. El robo de esta información puede socavar la competitividad, causar pérdidas financieras masivas y dañar la reputación.
• Organizaciones No Gubernamentales (ONGs) y Activistas: Grupos que trabajan en derechos humanos, periodismo investigativo o que se oponen a las políticas iraníes, tanto dentro como fuera de Irán, enfrentan un riesgo significativo. El objetivo es la identificación de fuentes, la interrupción de sus operaciones o la supresión de la disidencia.
• Evaluación de la Severidad: La amenaza de Infy Hackers debe calificarse como ALTA. Su persistencia, capacidad de adaptación técnica, aparente respaldo estatal y el contexto geopolítico actual de Irán (post-bloqueo de internet) amplifican la severidad. La reactivación inmediata indica una misión continua y una preparación anticipada. El downtime de internet en Irán no fue un período de pausa para ellos, sino de rearmamento y reestrategia.
• Implicaciones Geopolíticas: La actividad de Infy Hackers puede ser un barómetro de las tensiones geopolíticas. Su focalización puede alinearse con los objetivos de política exterior de Irán, utilizando la ciberseguridad como un instrumento de poder blando o duro para recopilar inteligencia, influir en eventos o ejercer presión. La capacidad de operar a nivel global, incluso después de interrupciones significativas en su red de origen, subraya la naturaleza transnacional de la ciberamenaza y la necesidad de una defensa colectiva.

Recomendaciones de Mitigación

Para contrarrestar la amenaza que representa la reactivación de Infy Hackers, se recomienda la implementación de una estrategia de ciberseguridad robusta y multicapa, con un énfasis particular en la resiliencia y la inteligencia de amenazas proactiva.

1. Fortalecimiento de la Postura de Seguridad de Red y Perímetro:

   • Egress Filtering: Implementar un egress filtering estricto para bloquear todas las conexiones salientes no autorizadas. Esto incluye la inspección profunda de paquetes (DPI) en el tráfico HTTPS y DNS para detectar DNS tunneling o comunicaciones C2 ofuscadas.
   • Monitoreo de DNS: Monitorear activamente las consultas DNS en busca de dominios sospechosos, patrones de DNS tunneling o el uso de DNS over HTTPS/TLS no autorizados. Implementar sinkholes para redirigir el tráfico C2 conocido.
   • Actualización de Blacklists: Actualizar y mantener listas negras (IPs, dominios) de IOCs conocidos asociados con Infy Hackers y otros grupos APT.

2. Defensa de Endpoint y Detección de Amenazas:

   • EDR/XDR Avanzado: Desplegar soluciones de Endpoint Detection and Response (EDR) o eXtended Detection and Response (XDR) con capacidades de análisis de comportamiento y detección basada en heurísticas para identificar actividades de LotL y malware personalizado.
   • MFA Universal: Implementar la autenticación multifactor (MFA) para todos los servicios, especialmente para el acceso remoto, VPN, servicios de correo electrónico y sistemas críticos.
   • Privilegio Mínimo: Asegurar que los usuarios y los procesos operen con el principio de privilegio mínimo, limitando el alcance del daño en caso de compromiso.
   • Hardening de Sistemas: Reforzar la configuración de sistemas operativos y aplicaciones, siguiendo las guías de hardening de las best practices de seguridad.

3. Gestión de Vulnerabilidades y Parcheo:

   • Ciclo de Parcheo Riguroso: Establecer y mantener un programa de gestión de parches riguroso para todos los sistemas operativos, aplicaciones y dispositivos de red, priorizando las vulnerabilidades que podrían ser explotadas para el acceso inicial o la escalada de privilegios.
   • Auditorías de Seguridad: Realizar auditorías de seguridad periódicas, penetration testing y escaneos de vulnerabilidades para identificar y remediar debilidades antes de que puedan ser explotadas.

4. Concienciación y Entrenamiento del Personal:

   • Entrenamiento Anti-Phishing: Implementar programas de concientización y entrenamiento continuos para los empleados sobre técnicas de phishing y social engineering, que son los vectores de acceso inicial más comunes de este grupo.
   • Pruebas de Phishing: Realizar simulaciones de phishing internas para evaluar la efectividad de la capacitación y la resiliencia del personal.

5. Inteligencia de Amenazas y Threat Hunting:

   • Subscripción a Feeds de Inteligencia: Suscribirse a threat intelligence feeds de alta calidad que proporcionen información actualizada sobre TTPs, IOCs e Indicators of Behavior (IoB) de Infy Hackers y grupos APT similares.
   • Threat Hunting Proactivo: Establecer capacidades de threat hunting para buscar activamente signos de compromiso dentro de la red, utilizando los datos de inteligencia más recientes para guiar las investigaciones.
   • Análisis Forense: Desarrollar o adquirir capacidades de análisis forense digital y respuesta a incidentes para investigar rápidamente cualquier actividad sospechosa.

6. Segmentación de Red y Microsegmentación:

   • Segmentación de Red: Dividir la red en segmentos lógicos para limitar el movimiento lateral en caso de una brecha.
   • Microsegmentación: Utilizar la microsegmentación para aislar cargas de trabajo críticas, reduciendo el radio de explosión de un compromiso.

7. Respaldo y Recuperación de Desastres:

   • Backups Seguros: Implementar una estrategia de copias de seguridad robusta y probada, almacenando las copias de seguridad de forma segura y aislada para garantizar la capacidad de recuperación ante ataques disruptivos.
   • Plan de Recuperación: Desarrollar y probar un plan de recuperación de desastres cibernéticos.

La combinación de estas medidas defensivas y proactivas reducirá significativamente la superficie de ataque y aumentará la capacidad de detección y respuesta ante las operaciones persistentes y adaptativas de Infy Hackers.

Fuentes y Referencias

Para la elaboración de este análisis, se ha consultado el siguiente informe de inteligencia de amenazas, que ha servido como la referencia primaria para la confirmación de la reactivación de Infy Hackers y la implementación de nueva infraestructura C2:

• Portal de Referencia: El Quinto Dominio
• Reporte Original: Infy Hackers Resume Operations with New C2 Servers after Iran’s Internet Blockage Ends.
  • Enlace: https://thehackernews.com/2026/02/infy-hackers-resume-operations-with-new.html