Prince of Persia emerge come uno dei casi più espliciti di coordinamento tra operazioni cyber e controllo statale delle telecomunicazioni osservati negli ultimi anni. Le attività del threat actor, monitorate dal SafeBreach Labs dal 2019, mostrano una sospensione operativa perfettamente allineata al blackout internet imposto in Iran tra l’8 e il 27 gennaio 2026**, seguita da una ripresa sincronizzata con la riapertura della rete. Un comportamento che va oltre la semplice coincidenza e che, supportato da dati tecnici e timeline forensi, rafforza in modo sostanziale l’ipotesi di sponsorizzazione diretta del regime.
Prince of Persia dopo la Parte I: reazione immediata e hardening operativo
Dopo la pubblicazione della Parte I dell’indagine di SafeBreach il 18 dicembre 2025, Prince of Persia reagisce in modo rapido e coordinato. Nel giro di pochi giorni vengono attivati nuovi server C2, sostituiti domini e IP, e modificata la logica di backend per ridurre l’esposizione delle vittime. Il 21 dicembre entrano in funzione i nodi 45.80.148.195 e 45.80.148.249, associati a domini generati come uiavuflyjqodj.conningstone.net e uiavuflyjqodj.hbmc.net, utilizzati in parallelo per garantire resilienza.
Contestualmente, il gruppo interviene sul codice per oscurare gli indirizzi IP delle vittime, sostituendoli con 0.0.0.0 nei log, ed elimina file considerati troppo rivelatori. Il backend PHP evolve per verificare nomi macchina e GUID specifici prima di consentire il download dei payload, rendendo più difficile l’analisi esterna. File storici come updatelist.txt vengono resi obsoleti e sostituiti da una logica di distribuzione più selettiva, basata su file temporanei nominati dinamicamente.
Il blackout come linea di confine operativa
L’elemento più rilevante emerge all’inizio di gennaio 2026. L’8 gennaio, data di avvio del blackout internet in Iran in risposta alle proteste interne, Prince of Persia entra in una fase di dormienza totale. Non si osservano esfiltrazioni, comunicazioni C2 né attività di aggiornamento dei malware. La pausa dura fino al 25–26 gennaio, quando il gruppo riattiva infrastrutture e domini, tra cui f13.ddnsking.com e t13.ddnsking.com, preparandosi alla ripresa.
🔴 OSSERVATORIO INTELLIGENCE: LIVE
Alle 10:00 GMT+2 del 26 gennaio viene registrata la prima esfiltrazione Foudre, anticipando di circa 24 ore la fine ufficiale del blackout, avvenuta il 27 gennaio. Questa capacità di prevedere con precisione la riapertura della rete indica un accesso privilegiato alle decisioni o ai segnali interni del regime, incompatibile con un attore puramente criminale o opportunistico.
Tornado v51: evoluzione tecnica e doppio canale di comando
Durante questa fase Prince of Persia introduce Tornado v51, evoluzione diretta di Tonnerre v50 e basata sul framework Foudre. Tornado v51 rappresenta un salto qualitativo nella resilienza del malware, grazie all’adozione di protocolli duali HTTP e Telegram, utilizzabili in modo alternato o complementare per comando ed esfiltrazione.
Il malware integra un DGA avanzato che, in presenza di connettività, genera domini sulla base di prefissi temporali settimanali convertiti in base32 con un alfabeto personalizzato. In caso di restrizioni di rete, il codice recupera domini offuscati direttamente dalla blockchain, leggendo dati inseriti in campi OP_RETURN, una tecnica che rende estremamente complesso il sinkholing preventivo. Vengono inoltre introdotte verifiche RSA nei log per impedire spoofing e falsificazioni, segno di una crescente maturità operativa.
Il vettore di infezione sfrutta vulnerabilità WinRAR di 1-day, con archivi SFX mascherati da documenti legittimi che droppano eseguibili persistenti nella cartella di startup o tramite task schedulati, adattandosi alla presenza o meno di antivirus specifici.
Telegram come C2 e archivio di intelligence
Un ulteriore livello di sofisticazione riguarda l’uso di Telegram. Prince of Persia sostituisce account operativi e canali, passando da @ehsan8999100 a @Ehsan66442, e tenta di ridurre la visibilità delle comunicazioni. Nonostante ciò, SafeBreach riesce ad accedere allo storico completo del gruppo privato, estraendo 118 file e 14 link risalenti a febbraio 2025, grazie all’uso avanzato delle API Telegram e all’iterazione dei message_id. L’analisi della timeline mostra cicli operativi ben definiti, con periodi di esfiltrazione intensiva seguiti da lunghe fasi dormienti. Questo pattern, ripetuto e coerente, è tipico di operazioni APT coordinate, non di campagne criminali caotiche.
Il contrattacco con ZZ Stealer
Nel materiale Telegram emerge anche un tentativo di contrattacco contro i ricercatori, attraverso la diffusione di archivi ZIP malevoli contenenti ZZ Stealer. Questo malware, scritto in .NET e dotato di anti-analisi avanzate, raccoglie screenshot, informazioni ambientali e file sensibili, esfiltrandoli via HTTP e Telegram bot dedicati. Le stringhe, le chiavi di cifratura e le tecniche di offuscamento mostrano forti correlazioni con campagne precedenti basate su librerie Python compromesse nel 2024, suggerendo una continuità di sviluppo e tooling all’interno dell’ecosistema iraniano. Le correlazioni con altri gruppi, come Educated Manticore, risultano invece più deboli e limitate ai vettori ZIP/LNK/PowerShell, insufficienti a dimostrare una sovrapposizione diretta.
Sponsorship statale e cyber-governance
L’insieme di questi elementi – dormienza sincronizzata con il blackout, preparazione anticipata dei C2, ripresa predittiva delle attività e sofisticazione tecnica crescente – compone un quadro difficilmente interpretabile senza chiamare in causa una sponsorship statale diretta. Prince of Persia non si limita a operare all’interno dei confini politici iraniani: si coordina con le scelte infrastrutturali del regime, adattando le proprie operazioni ai tempi della censura e del controllo della rete.
Nel 2026 questo caso diventa un precedente rilevante per la threat intelligence globale. Dimostra che il blackout internet non è solo uno strumento repressivo interno, ma può diventare parte integrante della strategia operativa di un APT, usato per nascondere attività, riorganizzare infrastrutture e colpire con maggiore precisione una volta ristabilita la connettività.
Domande frequenti su Prince of Persia
Chi è Prince of Persia nel panorama delle minacce APT?
Prince of Persia è un threat actor monitorato dal 2019, attribuito con alta confidenza all’ecosistema iraniano, noto per campagne di esfiltrazione dati e per l’uso di malware proprietari come Foudre, Tonnerre e Tornado, con infrastrutture C2 distribuite e tecniche di offuscamento avanzate.
Perché il blackout internet in Iran è rilevante per l’attribuzione?
La sospensione completa delle attività di Prince of Persia coincide esattamente con l’inizio del blackout e la ripresa anticipa la sua fine, indicando una conoscenza interna dei tempi di censura e suggerendo un coordinamento diretto con il regime responsabile del controllo della rete.
Cosa rende Tornado v51 particolarmente pericoloso?
Tornado v51 introduce comunicazioni duali HTTP e Telegram, un DGA avanzato con fallback su blockchain per la risoluzione dei domini e verifiche RSA anti-spoofing, aumentando drasticamente la resilienza contro analisi, sinkholing e disruption.
Qual è il significato strategico di questo caso nel 2026?
Il caso Prince of Persia dimostra che gli APT statali possono integrare eventi di censura e controllo infrastrutturale nelle proprie operazioni cyber, trasformando il blackout internet in uno strumento operativo e non solo repressivo, con implicazioni dirette per la difesa e l’attribuzione delle minacce.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU...
