2025-12-23 16:00:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 伊朗InfyAPT组织重现，SafeBreach报告其利用升级版Foudre下载器和Tonnerre植入程序攻击多国。攻击转为嵌入可执行文件，并使用DGA算法和RSA签名加固C2。新版新增Telegram交互机制。该组织运作高度组织化，持续活跃，仍是高危威胁。 综合评分： 88 文章分类： 威胁情报,恶意软件,安全大事件

cover_image

【安全圈】伊朗Infy APT组织沉寂多年后携新型恶意软件活动重现

安全圈

2025年12月22日 19:01 江苏

关键词

黑客组织

威胁研究人员发现与伊朗黑客组织 Infy（又名波斯王子）相关的新活动，距该组织上次针对瑞典、荷兰和土耳其受害者已过去近五年。安全公司 SafeBreach 研究副总裁 Tomer Bar 向《黑客新闻》提供的技术分析报告中表示：”波斯王子的活动规模远超我们最初预期，这个威胁组织仍然活跃且危险。”

历史悠久的APT组织

根据 Palo Alto Networks Unit 42 于2016年5月发布的报告（由 Bar 与研究员 Simon Conant 共同撰写），Infy 是最古老的高级持续性威胁（APT）组织之一，其早期活动可追溯至2004年12月。与其他伊朗组织如迷人小猫（Charming Kitten）、泥浆（MuddyWater）和石油钻机（OilRig）不同，该组织一直保持低调。其攻击主要利用两种恶意软件：名为 Foudre 的下载器和受害者分析工具，用于投放第二阶段植入程序 Tonnerre 以窃取高价值设备数据。据评估，Foudre 通过钓鱼邮件传播。

历史攻击变种

SafeBreach 还发现2017至2020年间攻击活动中使用的旧版变种：

伪装成 Amaq 新闻查找器的 Foudre 版本
通过 Foudre 24版 DLL 下载的 MaxPinner 木马新变种（用于监视 Telegram 内容）
与 Amaq 新闻查找器相似的 Deep Freeze 恶意软件变种
名为 Rugissement 的未知恶意软件

SafeBreach 强调：”尽管波斯王子组织在2022年看似沉寂，实则相反。我们持续研究发现这个多产而隐秘的组织在过去三年中的活动细节、C2服务器及恶意软件变种。”此次披露恰逢 DomainTools 对迷人小猫泄密数据的分析显示，该黑客组织运作模式更似政府部门，以”文书精度开展间谍活动”，并被揭露为 Moses Staff 背后的操控者。该公司指出：”APT35 这个负责德黑兰长期凭证钓鱼行动的管理机器，也运作着支撑 Moses Staff 勒索软件表演的后勤系统。这些所谓的黑客活动分子与政府网络部门不仅共享工具和目标，还使用同一套应付账款系统。其宣传部门与间谍部门实为同一工作流程的两个产物——相同内部票务制度下的不同’项目’。”

END

阅读推荐

【安全圈】某国企海外子公司疑遭数据泄露

【安全圈】服务器瘫痪近200小时！原因竟是…

【安全圈】朝鲜黑客2025年盗走20.2亿美元加密货币

【安全圈】拳头游戏发现主板致命漏洞，多家厂商紧急修复

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈《【安全圈】伊朗Infy APT组织沉寂多年后携新型恶意软件活动重现》