資安公司 SafeBreach 近期發布研究報告指出,沉寂多年的伊朗駭客組織 Infy(又稱波斯王子, Prince of Persia),近期展開了新一波的網路間諜活動。Infy 屬於高級持續性威脅 (APT) ,是目前已知活動時間最長的國家級駭客組織之一,活動蹤跡最早可追溯至2004年,2022年一度停止運作,但在2025年下半年被發現 Infy 利用新版本的惡意軟體工具,針對伊朗、伊拉克、土耳其、印度、加拿大及歐洲多國的政府機構與異議人士發動攻擊。
惡意軟體 Foudre 與 Tonnerre 技術升級
根據 SafeBreach 研究副總裁 Tomer Bar 的分析,Infy 組織主要使用兩款惡意軟體,Foudre 負責初步偵察與下載,Tonnerre 則負責資料竊取。在最新的攻擊行動中,研究人員發現 Foudre 目前已升級至第 34 版,而 Tonnerre 則已經更新至第 50 版。
過往 Infy 多利用微軟 Office 巨集進行入侵,但最新的 Foudre v34 改採更精密的社交工程陷阱。駭客將惡意執行檔嵌入 Excel 文件中,利用自解壓縮檔案 ( SFX ) 繞過偵測。當受害者開啟檔案後,惡意程式會釋放一個名為 d232 的 DLL 模組。值得注意的是,這個模組的圖示被刻意設計成 Windows Media Player 的 MP4 影片檔,誘使受害者點擊執行。一旦中招,Foudre 便會收集系統資訊回傳,若目標價值夠高,才會下載第二階段的 Tonnerre 間諜軟體。
首度結合 Telegram 進行指揮控制
最驚人的發現是 Infy 首次將通訊軟體 Telegram 納入其指揮控制(C2)架構。SafeBreach 研究團隊透過分析惡意軟體中的 tga.adr 設定檔,成功解密了駭客的通訊模式。
Photo Credit by SafeBreach “Prince of Persia: A Decade of Iranian Nation-State APT Campaign Activity under the Microscope”
本次調查最值得注意的發現,是Infy 首次將通訊軟體 Telegram 納入其指揮控制的架構中。最新版本的 Tonnerre 惡意軟體具備與特定 Telegram 群組通訊的功能。研究人員發現一個名為「سرافراز」(波斯語意為「榮耀」)的 Telegram 群組被用作中繼站,攻擊者透過名為「@ttestro1bot」的機器人發送指令並接收竊取的資料,該機器人的背後由一個名為 「@ehsan8999100」 的帳號所控制,資安人員研判這極可能就是 Infy 組織的核心成員之一。
多元化的攻擊軍火庫與防禦機制
除了主力的 Foudre 與 Tonnerre,報告也指出 Infy 擁有多種特製化工具,包括專門用來竊取 Telegram 對話紀錄的 MaxPinner,以及代號為 Rugissement 的新型惡意軟體家族,顯示該組織具備持續開發新武器的能力。
為了防止後端的指揮伺服器(C2)遭到資安人員封鎖或接管,Infy 導入了更嚴密的防護機制。他們利用網域生成演算法(DGA)搭配 LiteSpeed 網頁伺服器架構,一直不斷動態變換連線網址;同時結合加密簽章技術 (RSA) ,強制惡意軟體在連線前必須先核對伺服器身分。換言之,即使資安公司成功攔截網址,若無法出示正確的數位簽章,惡意軟體便會拒絕連線,使得切斷其控制鏈的難度變得極高。
他們有其他變種程序在應用,包括 Amaq News Finder、Deep Freeze 與 MaxPinner v8,也被發現會監視受害者的 Telegram 帳戶。
針對特定目標的精準打擊
CyberQ 觀察,波斯王子 Infy 的攻擊具有高度針對性,該組織惡意軟體中的特定設定檔僅會對特定的受害者識別碼(GUID)生效,這顯示攻擊者並非以此進行大規模無差別攻擊,而是鎖定特定目標進行長期監控。
儘管該組織在2016年與2022年曾多次遭到資安公司曝光並截斷其基礎設施,但 Infy 總能在一段時間後增進技術能力並捲土重來,顯示其背後擁有穩定的資源支持。
首圖由 Nano Banana AI 生成
