Blockchain frente al "botón de apagado": al cortar Internet, los servicios secretos iraníes delataron a sus mejores hackers
Una serie de coincidencias resultó demasiado perfecta para ser casualidad
El reciente informe técnico de SafeBreach Labs muestra cómo la actividad del grupo «Príncipe de Persia» cambió inmediatamente después de la publicación del informe anterior y cómo esos cambios coincidieron con el corte de internet en Irán. Según la empresa, la vigilancia de la infraestructura de los atacantes permitió no solo seguir la evolución de sus herramientas, sino también concluir una relación directa de la campaña con estructuras estatales.
Tomer Bar de SafeBreach describe el periodo del 19 de diciembre de 2025 al 3 de febrero de 2026, cuando los operadores reemplazaron rápidamente cuentas de Telegram y servidores de mando y control para las familias Foudre y Tonnerre, y también volvieron a crear dominios, incluidos los generados por un algoritmo DGA. Paralelamente, el grupo trató de dificultar la atribución, borrando registros, eliminando las direcciones IP de las víctimas de los logs y poniendo 0.0.0.0 en los nombres de los archivos exportados.
El informe presta atención a una nueva modificación que SafeBreach denomina Tornado versión 51. Combina control vía HTTP y Telegram, y los dominios para los servidores puede conseguirlos de dos maneras: mediante DGA y mediante descifrado de datos de blockchain, lo que da a los operadores flexibilidad sin reemplazar constantemente las compilaciones. Para la infección inicial, según los autores, comenzaron a usar una vulnerabilidad reciente de WinRAR para colocar el componente en la carpeta de inicio automático.
También se describe un posible contraataque contra analistas. En el historial de mensajes de un grupo de Telegram vinculado al «Príncipe de Persia» se encontró un archivo ZIP disfrazado de volcado de una víctima. Este ejecutaba una cadena con LNK y PowerShell e instalaba ZZ Stealer, que a su vez cargaba un infostealer modificado, StormKitty. SafeBreach señala fuertes coincidencias con el incidente de principios de 2024, cuando se comprometieron bibliotecas de Python con una técnica similar, según informó la empresa Checkmarx. Además, se menciona una conexión más débil en los métodos de entrega con el grupo Educated Manticore, que anteriormente describió Check Point.
El argumento clave sobre el carácter estatal de la campaña está relacionado con la pausa en la actividad de la infraestructura. SafeBreach registró la ausencia de nuevas inscripciones de dominios y de volcado de datos entre el 8 y el 24 de enero de 2026 y relaciona esto con el apagón nacional de internet en Irán. El 26 de enero la actividad de preparación de servidores se reanudó, y el 27 de enero el apagón finalizó, lo que, según la empresa, constituyó un indicador adicional de la dependencia de las operaciones respecto de decisiones de las autoridades.
Por tanto, las campañas maliciosas deben evaluarse no solo por el código y los indicadores, sino también por su ritmo: cuando las herramientas y la infraestructura se mueven en sincronía con acontecimientos del mundo real, esto se convierte en una señal que ayuda a comprender con mayor precisión las fuentes de las amenazas y a fortalecer la defensa con antelación.