FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

威胁研究人员发现与伊朗黑客组织 Infy（又名波斯王子）相关的新活动，距该组织上次针对瑞典、荷兰和土耳其受害者已过去近五年。安全公司 SafeBreach 研究副总裁 Tomer Bar 向《黑客新闻》提供的技术分析报告中表示："波斯王子的活动规模远超我们最初预期，这个威胁组织仍然活跃且危险。"

历史悠久的APT组织

根据 Palo Alto Networks Unit 42 于2016年5月发布的报告（由 Bar 与研究员 Simon Conant 共同撰写），Infy 是最古老的高级持续性威胁（APT）组织之一，其早期活动可追溯至2004年12月。与其他伊朗组织如迷人小猫（Charming Kitten）、泥浆（MuddyWater）和石油钻机（OilRig）不同，该组织一直保持低调。其攻击主要利用两种恶意软件：名为 Foudre 的下载器和受害者分析工具，用于投放第二阶段植入程序 Tonnerre 以窃取高价值设备数据。据评估，Foudre 通过钓鱼邮件传播。

最新攻击活动

SafeBreach 最新发现显示，该组织使用升级版 Foudre（34版）和 Tonnerre（12-18版及50版）针对伊朗、伊拉克、土耳其、印度、加拿大及欧洲受害者发起隐蔽攻击。最新版 Tonnerre 于2025年9月被发现。攻击链已从包含宏的 Excel 文件转变为在文档中嵌入可执行文件来安装 Foudre。该组织最显著的特点是使用域名生成算法（DGA）增强其命令控制（C2）基础设施的韧性。

Foudre 和 Tonnerre 会通过下载 RSA 签名文件验证 C2 域名真实性，随后使用公钥解密并与本地存储的验证文件比对。SafeBreach 分析发现 C2 服务器上存在名为"key"的验证目录，以及存储通信日志和窃取文件的文件夹。Bar 指出："Foudre 每日下载威胁行为者用 RSA 私钥加密的专属签名文件，再通过内嵌公钥验证域名合法性，请求格式为：'https://<域名>/key/<域名><年份后两位><年内第几天>.sig'"

C2 服务器还存在用途暂未明确的"download"目录，疑似用于下载新版本。而最新版 Tonnerre 新增通过 C2 服务器联系 Telegram 群组（波斯语名"سرافراز"意为"自豪"）的机制，该群组包含两个成员：可能用于发令和收集数据的机器人"@ttestro1bot"，以及用户"@ehsan8999100"。值得注意的是，相关 Telegram 群组信息存储在 C2 服务器"t"目录下的"tga.adr"文件中，且仅针对特定受害者 GUID 列表触发下载。

历史攻击变种

SafeBreach 还发现2017至2020年间攻击活动中使用的旧版变种：

• 伪装成 Amaq 新闻查找器的 Foudre 版本
• 通过 Foudre 24版 DLL 下载的 MaxPinner 木马新变种（用于监视 Telegram 内容）
• 与 Amaq 新闻查找器相似的 Deep Freeze 恶意软件变种
• 名为 Rugissement 的未知恶意软件

SafeBreach 强调："尽管波斯王子组织在2022年看似沉寂，实则相反。我们持续研究发现这个多产而隐秘的组织在过去三年中的活动细节、C2服务器及恶意软件变种。"此次披露恰逢 DomainTools 对迷人小猫泄密数据的分析显示，该黑客组织运作模式更似政府部门，以"文书精度开展间谍活动"，并被揭露为 Moses Staff 背后的操控者。该公司指出："APT35 这个负责德黑兰长期凭证钓鱼行动的管理机器，也运作着支撑 Moses Staff 勒索软件表演的后勤系统。这些所谓的黑客活动分子与政府网络部门不仅共享工具和目标，还使用同一套应付账款系统。其宣传部门与间谍部门实为同一工作流程的两个产物——相同内部票务制度下的不同'项目'。"

参考来源：

Iranian Infy APT Resurfaces with New Malware Activity After Years of Silence

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）