文章总结： 伊朗威胁组织Infy又名PrinceofPersia再次活跃，该组织起源可追溯至2004年，近期攻击活动针对多个地区。攻击手法更新为将可执行文件直接嵌入Excel文档，使用域名生成算法轮换C2域名，最新Tonnerre恶意软件集成了Telegram功能。研究表明该组织一直保持活跃状态且运营手段日趋成熟，仍是持续的间谍威胁。 综合评分： 84 文章分类： 威胁情报,恶意软件,漏洞分析

伊朗情报机构“Prince of Persia”网络间谍活动再度浮出水面

会杀毒的单反狗

军哥网络安全读报

2025年12月22日 09:00 湖北

导读

安全研究人员发现，一个名为“Infy”（又名“Prince of Persia”）的伊朗威胁组织再次活跃于网络空间，这标志着该组织在近五年前于欧洲和中东地区开展的大规模行动后再次出现。据SafeBreach称，该组织近期攻击活动的规模和持续时间表明，它仍然是一个活跃且能力强大的高级持续性威胁。

Infy 被认为是活动时间最长的 APT 组织之一，其起源至少可以追溯到 2004 年。尽管存在时间很长，但与其他与伊朗有关联的组织（例如 Charming Kitten 或 MuddyWater）相比，它一直鲜为人知。

早期的研究表明，Infy 的攻击主要依赖于一套相对集中的工具包，该工具包围绕两个主要的恶意软件家族构建：Foudre，一个下载和侦察工具；以及 Tonnerre，一个用于更深层次系统入侵和数据窃取的辅助植入程序。这些工具据信主要通过网络钓鱼活动传播。

SafeBreach 近期的一项分析揭示了一场此前未被记录的攻击活动，该活动针对多个地区的组织和个人，包括伊朗、伊拉克、土耳其、印度、加拿大以及欧洲部分地区。

此次攻击活动利用了 Foudre 和 Tonnerre 的更新版本，其中最新的 Tonnerre 变种于 2025 年 9 月被发现。研究人员注意到初始感染方法发生了变化，攻击者不再使用传统的恶意宏，而是将可执行文件直接嵌入 Microsoft Excel 文档中以启动恶意软件部署。

Infy当前运营最显著的特点之一是其强大的命令与控制（C2）基础设施。该恶意软件采用域名生成算法定期轮换C2域名，从而降低被攻击的可能性。每个域名都使用基于RSA的验证流程进行身份验证，确保受感染的系统只能与攻击者授权的服务器通信。

SafeBreach的研究人员观察到，该恶意软件每天都会检索加密的签名文件，以验证其C2端点的合法性。

对该组织基础设施的进一步检查发现了用于域名验证、通信日志记录和存储窃取数据的结构化目录。证据还表明存在用于支持恶意软件更新的机制，这表明该工具集正在持续开发和维护。

最新版本的 Tonnerre 引入了另一项显著功能，即在其控制框架中集成了 Telegram。该恶意软件能够通过其 C2 服务器与特定的 Telegram 群组进行交互，从而使攻击者能够发出指令并收集窃取的数据。此功能似乎仅对部分受害者启用，这进一步印证了此次攻击活动的针对性。

SafeBreach 的研究人员还发现了与 Infosys 在 2017 年至 2020 年间早期活动相关的多种遗留恶意软件变种，这凸显了该组织持续进行实验和调整的模式。

与此前认为该组织在 2022 年后已销声匿迹的假设相反，新的研究结果表明，该组织在过去几年中一直保持着活跃状态，并且运营手段日趋成熟。

此次披露恰逢对伊朗网络行动的更广泛研究，其中包括一项分析，该分析表明一些威胁组织以类似于正规政府部门的结构化工作流程运作。

这些发现共同强化了人们的担忧，即信息技术公司（Infy）仍然是一个持续存在的间谍威胁，其技术能力不断提升，并具有长期的战略目标。

技术报告：

《Prince of Persia：十年来伊朗民族国家高级威胁小组（APT）攻击活动的显微镜观察》

Prince of Persia: A Decade of Iranian Nation-State APT Campaign Activity under the Microscope

新闻链接：

https://www.cysecurity.news/2025/12/iranian-infy-prince-of-persia-cyber.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《伊朗情报机构“Prince of Persia”网络间谍活动再度浮出水面》