Nowe działania grupy hakerskiej Infy: zagrożenie sprzed lat wciąż aktywne

Eksperci zajmujący się cyberzagrożeniami zidentyfikowali nowe działania związane z irańskim aktorem zagrożeń znanym jako Infy (znanym także jako Książę Persji), niemal pięć lat po tym, jak grupa hakerska była obserwowana w działaniach przeciwko ofiarom w Szwecji, Holandii i Turcji.

„Skala aktywności Księcia Persji jest znacznie większa, niż początkowo się spodziewaliśmy” – powiedział Tomer Bar, wiceprezydent ds. badań bezpieczeństwa w SafeBreach, w szczegółowej analizie, jaką podzielił się z portalem The Hacker News. „Ta grupa zagrożeń jest wciąż aktywna, istotna i niebezpieczna.”

Geneza grupy Infy

Infy to jeden z najstarszych aktorów zaawansowanych zagrożeń (APT), z dowodami ich wcześniejszej działalności sięgającymi grudnia 2004 roku. Zgodnie z raportem opublikowanym przez Palo Alto Networks Unit 42 w maju 2016 roku, który również napisali Bar oraz badacz Simon Conant, grupa ta umiejętnie unikała uwagi, w przeciwieństwie do innych irańskich grup, takich jak Charming Kitten, MuddyWater czy OilRig.

Ataki tej grupy w dużej mierze opierały się na dwóch rodzajach złośliwego oprogramowania: downloaderze oraz profilerze ofiar nazwanym Foudre, który dostarcza drugi implant o nazwie Tonnerre, służący do ekstrakcji danych z maszyn o wysokiej wartości. Vektor dystrybucji Foudre jest oceniany na podstawie phishingowych e-maili.

Nowe ataki i metody działania

Najświeższe ustalenia z SafeBreach ujawniły tajną kampanię, która skierowana była przeciwko ofiarom w Iranie, Iraku, Turcji, Indiach, Kanadzie, a także w Europie, wykorzystując zaktualizowane wersje Foudre (wersja 34) oraz Tonnerre (wersje 12-18, 50). Najnowsza wersja Tonnerre została wykryta we wrześniu 2025 roku.

W łańcuchach ataków zauważono również przejście z plików Microsoft Excel zawierających makra do osadzania wykonywalnych plików w takich dokumentach w celu zainstalowania Foudre. Co szczególnie interesujące, modus operandi aktora zagrożeń charakteryzuje się użyciem algorytmu generowania domen (DGA), aby zwiększyć odporność swojej infrastruktury dowodzenia i kontroli (C2).

Mechanizmy zabezpieczeń i nowinki techniczne

Dodatkowo, artefakty Foudre i Tonnerre są w stanie weryfikować, czy domena C2 jest autentyczna, pobierając plik sygnatury RSA, który złośliwe oprogramowanie deprogramuje za pomocą klucza publicznego i porównuje go z lokalną wersją pliku walidacyjnego.

Analiza infrastruktury C2 przez SafeBreach ujawniła również katalog o nazwie „key” używany do walidacji, a także inne foldery do przechowywania logów komunikacji oraz wykradzionych plików.

„Każdego dnia Foudre pobiera dedykowany plik sygnatury zaszyfrowany kluczem prywatnym RSA przez aktora zagrożeń, a następnie stosuje weryfikację RSA z osadzonym kluczem publicznym, aby potwierdzić, że ta domena jest zatwierdzona” – dodał Bar.

W serwerze C2 znajduje się także katalog „download”, którego obecny cel nie jest znany, ale podejrzewa się, że jest wykorzystywany do pobierania i aktualizacji do nowej wersji.

Wykorzystanie Telegrama oraz starsze wersje złośliwego oprogramowania

Najnowocześniejsza wersja Tonnerre zawiera mechanizm kontaktu z grupą Telegram (nazwa „سرافراز”, co znaczy „dumnie” w perskim) za pośrednictwem serwera C2. Grupa ma dwóch członków: bota Telegramu „@ttestro1bot”, który prawdopodobnie używany jest do wydawania poleceń i zbierania danych oraz użytkownika o pseudonimie „@ehsan8999100”.

Choć wykorzystanie aplikacji wiadomości do C2 nie jest rzadkością, interesujące jest to, że informacje o grupie Telegram są przechowywane w pliku nazwanym „tga.adr” w katalogu „t” na serwerze C2 oraz że pobranie pliku „tga.adr” może być uruchomione tylko dla określonej listy ofiar GUID.

SafeBreach odkryło również inne starsze warianty użyte w kampaniach Foudre między 2017 a 2020 rokiem:

• Wersja Foudre przebrana za Amaq News Finder, aby pobierać i uruchamiać złośliwe oprogramowanie.
• Nowa wersja trojana o nazwie MaxPinner, który jest pobierany przez Foudre wersji 24 DLL, aby szpiegować na treści Telegramu.
• Wersja złośliwego oprogramowania o nazwie Deep Freeze, podobna do Amaq News Finder, używana do infekcji ofiar Foudre.
• Nieznane złośliwe oprogramowanie o nazwie Rugissement.

„Pomimo wyglądu, jakby zniknęli w 2022 roku, aktorzy zagrożeń z Księcia Persji zrobili zupełnie odwrotnie” – stwierdziło SafeBreach. „Nasza trwająca kampania badawcza dotycząca tej płodnej i nieuchwytnej grupy ujawniła istotne szczegóły na temat ich działalności, serwerów C2 oraz zidentyfikowanych wariantów złośliwego oprogramowania w ciągu ostatnich trzech lat.”

Informacje te pojawiły się w momencie, gdy analiza الوصل DomainTools ciągłych wycieków Charming Kitten ukazała obraz grupy hakerskiej, która działa bardziej jak agencja rządowa, prowadząc „operacje szpiegowskie z biurową precyzją”. Aktyor zagrożeń został również ujawniony jako ten, który stoi za osobowością Moses Staff.

„APT 35, ta sama maszyna administracyjna, która prowadzi długoterminowe operacje phishingowe w Teheranie, również zarządzała logistyką, która napędzała teatr ransomware Moses Staff” – dodała firma.

„Rzekome hacktywiści oraz rządowa jednostka cybernetyczna dzielą nie tylko narzędzia i cele, ale także ten sam system finansowy. Ramię propagandowe i ramię szpiegowskie to dwa produkty jednego workflow: różne „projekty” w ramach tego samego wewnętrznego systemu ticketowego.”