The Last 24 Hours | 安全无小事

伊朗 Infy APT 在多年沉寂后以新恶意软件活动再度出现

2025/12/21 威胁情报 The Hacker News

威胁猎手发现,与伊朗威胁组织 Infy(又称波斯王子)相关的新活动,这一组织在大约五年前被观察到针对瑞典、荷兰和土耳其的受害者进行攻击。

SafeBreach 安全研究副总裁 Tomer Bar 在与《The Hacker News》分享的技术报告中表示:

“波斯王子的活动规模远超我们最初的预估。该威胁组织仍然活跃、相关且极具危险性。”

Infy 是现存最早的高级持续性威胁(APT)组织之一,早期活动可追溯至 2004 年 12 月。该信息来源于 Palo Alto Networks Unit 42 于 2016 年 5 月发布的报告,该报告由 Bar 与研究员 Simon Conant 合著。

该组织一直保持低调,未受到像 Charming Kitten、MuddyWater 和 OilRig 等其他伊朗黑客组织那样的广泛关注。该组织的攻击主要利用两种恶意软件:下载器和受害者分析工具 Foudre,以及第二阶段植入式程序 Tonnerre,用于从高价值机器中提取数据。Foudre 被评估为通过钓鱼邮件分发。

SafeBreach 向《The Hacker News》表示,其他伊朗国家级组织主要针对组织和网络进行大规模间谍活动和业务中断。他们在攻击生命周期的早期阶段通常采用广泛的侦察和大规模利用技术。

相较之下,波斯王子更为“精准聚焦”,主要针对个人进行直接监控和情报收集。

该组织专注于对高价值目标(如持不同政见者和学者)的长期监视。波斯王子历史上利用恶意软件访问 Telegram 聊天。尽管这些聊天在传输过程中已加密,但其恶意软件可以直接从受害者被妥协的机器上捕获消息。

SafeBreach 的最新发现显示,一场隐蔽的攻势已针对伊朗、伊拉克、土耳其、印度、加拿大以及欧洲的受害者,使用更新版本的 Foudre(第 34 版)和 Tonnerre(第 12‑18 版和第 50 版)。最新的 Tonnerre 版本于 2025 年 9 月被检测到。

攻击链已从带宏的 Microsoft Excel 文件转变为在文档中嵌入可执行文件来安装 Foudre。该威胁组织作案手法最显著的特点是采用域生成算法(DGA)来提升其指挥控制(C2)基础设施的韧性。

此外,Foudre 和 Tonnerre 的样本会通过下载 RSA 签名文件来验证 C2 域名的真实性,恶意软件随后使用公钥解密并与本地存储的验证文件进行比对。

SafeBreach 对 C2 基础设施的分析还发现了名为 “key” 的目录,用于 C2 验证;还有其他文件夹用于存储通信日志和加密的外泄文件。

Bar 说:

“Foudre 每天都会下载一个由威胁组织使用 RSA 私钥加密的专用签名文件,并使用嵌入的公钥进行 RSA 验证,以确认该域名是被批准的域名。请求的格式为:‘https://<域名>/key/<域名><一年中的第几天>.sig.’”

C2 服务器上还有一个名为 “download” 的目录,目前用途尚不明,推测可能用于下载并升级到新版本。

另一方面,最新版本的 Tonnerre 包含通过 C2 服务器联系名为 “سرافراز”(波斯语意为“自豪”)的 Telegram 群组的机制。该群组有两个成员:一个 Telegram 机器人 @ttestro1bot(可能用于下达指令和收集数据),以及一个用户名为 @ehsan8999100 的用户。

虽然使用即时通讯应用作为 C2 并不罕见,但值得注意的是,Telegram 群组的信息存储在 C2 服务器 “t” 目录下名为 “tga.adr” 的文件中。该文件仅会针对特定受害者 GUID 列表触发下载。

具体保存 ‘允许的机器 GUID’ 的文件尚未确定,可能是位于 ‘r’ 文件夹下 index.php 的嵌入逻辑,亦或是另一个未知文件。服务器在比较并验证受害机器 GUID 为允许的后,会返回 HTTP 302 重定向,指向 tga.adr 文件,Tonnerre 随后跟随重定向下载并解析该文件。

安全公司还发现了 2017‑2020 年间用于 Foudre 攻击的其他旧变体——

  • 一个伪装成 Amaq News Finder 的 Foudre 版本,用于下载并执行恶意软件
  • 一个名为 MaxPinner 的新型木马,Foudre 版本 24 的 DLL 下载它以监视 Telegram 内容
  • 一种名为 Deep Freeze 的恶意软件变体,类似于 Amaq News Finder,用于感染受害者并植入 Foudre
  • 一个未知的恶意软件,名为 Rugissement

尽管该组织在 2022 年似乎陷入沉寂,波斯王子威胁行为者实际上表现得相反,”SafeBreach 表示。“我们对该高产且难以捉摸的组织的持续研究,揭示了过去三年其活动、C2 服务器以及恶意软件变体的关键细节。”

DomainTools 对 Charming Kitten 泄露的持续分析描绘出该黑客组织更像是政府部门,以‘文书工作般的精确’开展间谍行动。该威胁行为者也被确认与 Moses Staff 身份有关联。

APT 35,即运营德黑兰长期凭证钓鱼行动的同一行政机器,也为 Moses Staff 的勒索软件剧场提供了后勤支持,”该公司称。

所谓的黑客行动主义者和政府网络部队不仅共享工具和目标,还使用相同的财务系统。宣传部门和间谍部门是同一工作流下的两个‘项目’,只是在内部工单系统中划分为不同的业务。

(该故事在发布后已更新,加入了 SafeBreach 的更多回应。)