Иранская хакерская группировка Infy, также известная под псевдонимом Prince of Persia, возобновила активную деятельность после почти пяти лет предполагаемого молчания. Хотя считалось, что злоумышленники ушли в тень в 2022 году, свежие данные свидетельствуют о том, что они продолжали скрытые операции и значительно усилили свой технический потенциал. Исследователи характеризуют текущий статус Infy как «активный, актуальный и опасный», отмечая, что масштаб их деятельности оказался намного серьезнее, чем предполагалось изначально. Являясь одной из старейших угроз типа Advanced Persistent Threat (APT), эта группа отличается неуловимостью и традиционно привлекает меньше внимания, чем другие иранские акторы.
История Infy восходит к декабрю 2004 года, что делает их одними из ветеранов кибершпионажа. Ранний анализ деятельности группы был опубликован в мае 2016 года подразделением Unit 42 компании Palo Alto Networks, в работе над которым принимал участие исследователь Саймон Конант. Последние технические данные и детальный разбор новых инструментов предоставлены компанией SafeBreach и ее вице-президентом по исследованиям безопасности Томером Баром, который ранее сотрудничал с Конантом. Информация о возвращении группы была обнародована изданием The Hacker News. Согласно предоставленным данным, новейшее обнаружение вредоносного ПО Tonnerre датируется сентябрем 2025 года.
География атак Infy претерпела существенные изменения за последние годы. Если около пяти лет назад основными целями были Швеция, Нидерланды и Турция, то в настоящее время вектор сместился. Новый список жертв включает Иран, Ирак, Турцию, Индию, Канаду и страны Европы. Злоумышленники фокусируются на компрометации особо важных и ценных компьютерных систем (high-value machines), используя обновленные тактики для проникновения и закрепления в сетях.
Технический арсенал группы претерпел значительную модернизацию, особенно в части загрузчика Foudre. В период с 2017 по 2020 год хакеры использовали варианты, замаскированные под Amaq News Finder и Deep Freeze. Новейшая версия Foudre (версия 34) теперь распространяется через фишинговые письма с использованием новой тактики: вместо файлов с макросами злоумышленники внедряют исполняемый файл непосредственно в документы Microsoft Excel. Основная задача этого инструмента — профилирование системы жертвы и доставка полезной нагрузки второго этапа.
В качестве импланта второго этапа используется вредоносное ПО Tonnerre, предназначенное для кражи данных с приоритетных устройств. Последние обнаруженные образцы относятся к версиям с 12 по 18, а также версии 50. Ключевым нововведением в Tonnerre стало внедрение механизма управления через мессенджер Telegram. Кроме того, в инструментарии группы присутствует троян MaxPinner, загружаемый через библиотеку DLL Foudre версии 24 для шпионажа за контентом Telegram, и ранее неизвестный зловред Rugissement.
Инфраструктура командных серверов (C2) Infy построена с упором на устойчивость, используя алгоритм генерации доменов (DGA). Для проверки подлинности сервера вредоносное ПО ежедневно загружает файл подписи RSA, зашифрованный закрытым ключом оператора, и расшифровывает его встроенным открытым ключом, сравнивая с локальным файлом валидации. Запросы формируются по шаблону
Интеграция с Telegram в последних версиях Tonnerre реализована через специальную группу с названием «سرافراز» (в переводе с персидского — «с гордостью»). Для управления зараженными машинами и сбора данных используются бот @ttestro1bot и пользовательский аккаунт @a1396a1396. Конфигурационный файл «tga.adr», необходимый для этой связи, располагается в папке «t» на управляющем сервере. Примечательно, что загрузка этого файла разрешена только для строго определенного списка уникальных идентификаторов жертв (GUID), что подтверждает точечный характер операций.
Контекстуальный анализ, проведенный компанией DomainTools, противопоставляет методы Infy тактикам другой иранской группировки — Charming Kitten (также известной как APT 35). В отличие от скрытности Infy, Charming Kitten, стоящая за персоной Moses Staff, действует с «канцелярской точностью», напоминающей работу правительственного департамента. Аналитики выяснили, что операции по долгосрочному фишингу учетных данных в Тегеране и логистика программ-вымогателей Moses Staff используют единую систему кредиторской задолженности и внутреннюю систему тикетов, разделяя шпионаж и хактивизм просто как разные «проекты» в рамках одного рабочего процесса. В отчете также упоминаются другие активные иранские группы, такие как MuddyWater и OilRig, что подчеркивает разнообразие киберугроз, исходящих из этого региона.
Изображение носит иллюстративный характер
История Infy восходит к декабрю 2004 года, что делает их одними из ветеранов кибершпионажа. Ранний анализ деятельности группы был опубликован в мае 2016 года подразделением Unit 42 компании Palo Alto Networks, в работе над которым принимал участие исследователь Саймон Конант. Последние технические данные и детальный разбор новых инструментов предоставлены компанией SafeBreach и ее вице-президентом по исследованиям безопасности Томером Баром, который ранее сотрудничал с Конантом. Информация о возвращении группы была обнародована изданием The Hacker News. Согласно предоставленным данным, новейшее обнаружение вредоносного ПО Tonnerre датируется сентябрем 2025 года.
География атак Infy претерпела существенные изменения за последние годы. Если около пяти лет назад основными целями были Швеция, Нидерланды и Турция, то в настоящее время вектор сместился. Новый список жертв включает Иран, Ирак, Турцию, Индию, Канаду и страны Европы. Злоумышленники фокусируются на компрометации особо важных и ценных компьютерных систем (high-value machines), используя обновленные тактики для проникновения и закрепления в сетях.
Технический арсенал группы претерпел значительную модернизацию, особенно в части загрузчика Foudre. В период с 2017 по 2020 год хакеры использовали варианты, замаскированные под Amaq News Finder и Deep Freeze. Новейшая версия Foudre (версия 34) теперь распространяется через фишинговые письма с использованием новой тактики: вместо файлов с макросами злоумышленники внедряют исполняемый файл непосредственно в документы Microsoft Excel. Основная задача этого инструмента — профилирование системы жертвы и доставка полезной нагрузки второго этапа.
В качестве импланта второго этапа используется вредоносное ПО Tonnerre, предназначенное для кражи данных с приоритетных устройств. Последние обнаруженные образцы относятся к версиям с 12 по 18, а также версии 50. Ключевым нововведением в Tonnerre стало внедрение механизма управления через мессенджер Telegram. Кроме того, в инструментарии группы присутствует троян MaxPinner, загружаемый через библиотеку DLL Foudre версии 24 для шпионажа за контентом Telegram, и ранее неизвестный зловред Rugissement.
Инфраструктура командных серверов (C2) Infy построена с упором на устойчивость, используя алгоритм генерации доменов (DGA). Для проверки подлинности сервера вредоносное ПО ежедневно загружает файл подписи RSA, зашифрованный закрытым ключом оператора, и расшифровывает его встроенным открытым ключом, сравнивая с локальным файлом валидации. Запросы формируются по шаблону
https://<domain name>/key/<domain name><yy><day of year>.sig. Структура каталогов на сервере включает папки: «key» для валидации, «download» (предположительно для обновлений), «t» для конфигураций Telegram и другие директории для логов и эксфильтрованных данных. Интеграция с Telegram в последних версиях Tonnerre реализована через специальную группу с названием «سرافراز» (в переводе с персидского — «с гордостью»). Для управления зараженными машинами и сбора данных используются бот @ttestro1bot и пользовательский аккаунт @a1396a1396. Конфигурационный файл «tga.adr», необходимый для этой связи, располагается в папке «t» на управляющем сервере. Примечательно, что загрузка этого файла разрешена только для строго определенного списка уникальных идентификаторов жертв (GUID), что подтверждает точечный характер операций.
Контекстуальный анализ, проведенный компанией DomainTools, противопоставляет методы Infy тактикам другой иранской группировки — Charming Kitten (также известной как APT 35). В отличие от скрытности Infy, Charming Kitten, стоящая за персоной Moses Staff, действует с «канцелярской точностью», напоминающей работу правительственного департамента. Аналитики выяснили, что операции по долгосрочному фишингу учетных данных в Тегеране и логистика программ-вымогателей Moses Staff используют единую систему кредиторской задолженности и внутреннюю систему тикетов, разделяя шпионаж и хактивизм просто как разные «проекты» в рамках одного рабочего процесса. В отчете также упоминаются другие активные иранские группы, такие как MuddyWater и OilRig, что подчеркивает разнообразие киберугроз, исходящих из этого региона.
