APT在沉寂多年后再次出现，并开展新的恶意软件活动

威胁猎手们发现了与名为Infy（又名波斯王子）的伊朗威胁行为者相关的新活动，此前该黑客组织已被发现以瑞典、荷兰和土耳其的受害者为目标近五年之久。

SafeBreach安全研究副总裁托默·巴尔在分享给《黑客新闻》的一份技术分析报告中表示：“波斯王子组织的活动规模比我们最初预想的要大得多。这个威胁组织仍然活跃、具有现实意义且十分危险。”

根据 Palo Alto Networks Unit 42 于 2016 年 5 月发布的一份报告（该报告由 Bar 和研究员 Simon Conant 共同撰写），Infy 是现存最古老的持续性高级威胁 (APT) 组织之一，有证据表明其早期活动可以追溯到 2004 年 12 月。

该组织一直行踪隐秘，鲜少引起关注，这与Charming Kitten、MuddyWater和OilRig等其他伊朗黑客组织截然不同。该组织发起的攻击主要利用两种恶意软件：一种名为 Foudre 的下载器和受害者分析器，它会植入名为 Tonnerre 的二级植入程序，用于从高价值计算机中窃取数据。据评估，Foudre 主要通过钓鱼邮件传播。

SafeBreach 的最新调查结果揭露了一场针对伊朗、伊拉克、土耳其、印度、加拿大以及欧洲受害者的隐蔽攻击活动，该活动使用了 Foudre（版本 34）和 Tonnerre（版本 12-18、50）的更新版本。最新版本的 Tonnerre 于 2025 年 9 月被检测到。

攻击链也出现了从使用包含宏的 Microsoft Excel 文件到在文档中嵌入可执行文件以安装 Foudre 的转变。威胁行为者作案手法中最值得注意的是，他们使用了域名生成算法 (DGA) 来增强其命令与控制 (C2) 基础设施的弹性。

此外，Foudre 和 Tonnerre 恶意软件还会下载 RSA 签名文件来验证 C2 域是否真实，然后恶意软件会使用公钥解密该文件，并将其与本地存储的验证文件进行比较。

SafeBreach 对 C2 基础设施的分析还发现了一个名为“key”的目录，该目录用于 C2 验证，以及其他用于存储通信日志和泄露文件的文件夹。

“每天，Foudre 都会下载一个由攻击者使用 RSA 私钥加密的专用签名文件，然后使用嵌入的公钥进行 RSA 验证，以确认该域名是否为已批准的域名，”Bar 说。“请求格式如下：

'https://<域名>/key/<域名><yy><一年中的第几天>.sig.'”

C2 服务器上还有一个“下载”目录，其当前用途尚不清楚。据推测，它用于下载和升级到新版本。

另一方面，最新版本的 Tonnerre 包含一个通过 C2 服务器联系 Telegram 群组（名为“سرافراز”，在波斯语中意为“自豪地”）的机制。该群组有两个成员：一个 Telegram 机器人“ @ttestro1bot ”，可能用于发布命令和收集数据；以及一个用户名为“ @ehsan8999100 ”的用户。

虽然使用即时通讯应用进行C2通信并不罕见，但值得注意的是，Telegram群组的信息存储在C2服务器上名为“t”的目录下的一个名为“tga.adr”的文件中。需要注意的是，“tga.adr”文件的下载只能针对特定的受害者GUID列表触发。

这家网络安全公司还发现了其他一些较早的变种病毒，这些病毒曾在 2017 年至 2020 年期间的 Foudre 攻击活动中使用过。

• Foudre 的一个变种伪装成 Amaq News Finder，用于下载并执行恶意软件。
• 一种名为 MaxPinner 的新版木马程序，由 Foudre 24 版 DLL 下载，用于监视 Telegram 内容。
• 一种名为 Deep Freeze 的恶意软件变种，类似于 Amaq News Finder，用于感染 Foudre 病毒。
• 一种名为 Rugissement 的未知恶意软件

SafeBreach表示：“尽管波斯王子威胁组织表面上在2022年销声匿迹，但实际上却恰恰相反。我们持续对这个活跃且行踪诡秘的组织进行研究，揭示了过去三年中他们的活动、C2服务器以及已识别的恶意软件变种的关键细节。”

DomainTools 对Charming Kitten 泄露事件的持续分析揭示了一个黑客组织的运作方式更像是政府部门，其间谍活动“精准无误”。此次披露正值此背景下进行的。此外，该威胁行为者的真实身份也被揭露，他就是Moses Staff 的化名。

该公司表示： “APT 35，这个运行德黑兰长期凭证网络钓鱼活动的管理机器，也运行着支持摩西·斯塔夫勒索软件攻击的后勤保障机器。 ”

“所谓的黑客行动主义者和政府网络安全部门不仅共享工具和目标，还共享同一套应付账款系统。宣传部门和间谍部门是同一工作流程的两个产物：在同一内部工单系统下的不同‘项目’。”