Operation Epic Fury: the Iranian C2 nobody found (0/94 VT, RDTSC sandbox evasion, 8 months pre-op)

TL;DR (subito, niente scroll bait): Mentre tutti documentavano la fake RedAlert APK iraniana post-28 febbraio 2026, nessuno aveva trovato il C2 Windows sotto. 0/94 VT. CrowdStrike: CLEAN. Infrastruttura viva da giugno 2025. RDTSC anti-VM. Ancora live …


This content originally appeared on DEV Community and was authored by Paolo Costanzo

TL;DR (subito, niente scroll bait): Mentre tutti documentavano la fake RedAlert APK iraniana post-28 febbraio 2026, nessuno aveva trovato il C2 Windows sotto. 0/94 VT. CrowdStrike: CLEAN. Infrastruttura viva da giugno 2025. RDTSC anti-VM. Ancora live 16 giorni dopo.

Post pubblicato da AI perché col cazzo che divento social media manager. Il writeup tecnico è mio.

Cosa sapevano già tutti

Campagna iraniana, fake RedAlert APK, smishing contro civili israeliani post-28 febbraio 2026. Documentato da Unit 42, CloudSEK, Cloudflare Cloudforce One entro 5 giorni dall'operazione.

Quello che nessuno aveva trovato

  • Payload Windows inedito: LotAccessUI.EXE, client VPN cinese del 2016 trojanizzato. CrowdStrike Falcon: CLEAN. 59/72 vendor VirusTotal: silenzio.
  • Secondo C2 con 0/94 VT: 167.160.187[.]43 / 9732.5486311[.]xyz — nessun sistema di reputazione lo conosce. Nessun report ne parla.
  • Infrastruttura attiva da giugno 2025 — 8 mesi prima dell'operazione.
  • Entrambi i C2 Windows ancora live 16 giorni dopo l'operazione, nonostante i report pubblici.
  • Secondo APK Android (com.net.alerts / umgdn) non documentato — stage 2 con canale C2 resiliente via Pushy.me.
  • Convergenza tattica con Arid Viper 2023: stesso pattern TTP (fake alert app + push C2). Documentato qui per la prima volta.

Perché nessun sandbox lo aveva visto

RDTSC anti-VM (T1497.003): il payload misura i cicli CPU, rileva le VM, e non contatta mai il C2 in ambiente virtualizzato. Sei anni di invisibilità tecnica (prima submission sandbox: settembre 2020).

Strumenti usati

VirusTotal (free tier), FOFA, crt.sh, nmap, openssl. Nessun accesso privilegiato. Tutto riproducibile.

Il writeup completo include: IOC CSV, YARA rules, Sigma rules (TLP:WHITE, MIT license), timeline infrastrutturale completa, MITRE ATT&CK mapping.

👉 Write-up completo con IOC, YARA e Sigma rules

Post pubblicato tramite AI — il contenuto è mio, scritto da me.


This content originally appeared on DEV Community and was authored by Paolo Costanzo


Print Share Comment Cite Upload Translate Updates
APA

Paolo Costanzo | Sciencx (2026-03-17T08:20:17+00:00) Operation Epic Fury: the Iranian C2 nobody found (0/94 VT, RDTSC sandbox evasion, 8 months pre-op). Retrieved from https://www.scien.cx/2026/03/17/operation-epic-fury-the-iranian-c2-nobody-found-0-94-vt-rdtsc-sandbox-evasion-8-months-pre-op-2/

MLA
" » Operation Epic Fury: the Iranian C2 nobody found (0/94 VT, RDTSC sandbox evasion, 8 months pre-op)." Paolo Costanzo | Sciencx - Tuesday March 17, 2026, https://www.scien.cx/2026/03/17/operation-epic-fury-the-iranian-c2-nobody-found-0-94-vt-rdtsc-sandbox-evasion-8-months-pre-op-2/
HARVARD
Paolo Costanzo | Sciencx Tuesday March 17, 2026 » Operation Epic Fury: the Iranian C2 nobody found (0/94 VT, RDTSC sandbox evasion, 8 months pre-op)., viewed ,<https://www.scien.cx/2026/03/17/operation-epic-fury-the-iranian-c2-nobody-found-0-94-vt-rdtsc-sandbox-evasion-8-months-pre-op-2/>
VANCOUVER
Paolo Costanzo | Sciencx - » Operation Epic Fury: the Iranian C2 nobody found (0/94 VT, RDTSC sandbox evasion, 8 months pre-op). [Internet]. [Accessed ]. Available from: https://www.scien.cx/2026/03/17/operation-epic-fury-the-iranian-c2-nobody-found-0-94-vt-rdtsc-sandbox-evasion-8-months-pre-op-2/
CHICAGO
" » Operation Epic Fury: the Iranian C2 nobody found (0/94 VT, RDTSC sandbox evasion, 8 months pre-op)." Paolo Costanzo | Sciencx - Accessed . https://www.scien.cx/2026/03/17/operation-epic-fury-the-iranian-c2-nobody-found-0-94-vt-rdtsc-sandbox-evasion-8-months-pre-op-2/
IEEE
" » Operation Epic Fury: the Iranian C2 nobody found (0/94 VT, RDTSC sandbox evasion, 8 months pre-op)." Paolo Costanzo | Sciencx [Online]. Available: https://www.scien.cx/2026/03/17/operation-epic-fury-the-iranian-c2-nobody-found-0-94-vt-rdtsc-sandbox-evasion-8-months-pre-op-2/. [Accessed: ]
rf:citation
» Operation Epic Fury: the Iranian C2 nobody found (0/94 VT, RDTSC sandbox evasion, 8 months pre-op) | Paolo Costanzo | Sciencx | https://www.scien.cx/2026/03/17/operation-epic-fury-the-iranian-c2-nobody-found-0-94-vt-rdtsc-sandbox-evasion-8-months-pre-op-2/ |

Please log in to upload a file.



There are no updates yet.
Click the Upload button above to add an update.

You must be logged in to translate posts. Please log in or register.

Related Posts