De ongrijpbare Iraanse dreigingsgroep die bekend staat als Info (ook bekend als Prince of Persia) heeft zijn tactiek ontwikkeld als onderdeel van pogingen om zijn sporen te verbergen, zelfs toen het een nieuwe command-and-control (C2)-infrastructuur in gereedheid bracht die samenviel met het einde van de wijdverbreide internet-black-out die het regime begin januari 2026 oplegde.
“De dreigingsactor stopte op 8 januari met het onderhouden van zijn C2-servers voor het eerst sinds we hun activiteiten begonnen te monitoren”, zegt Tomer Bar, vice-president van beveiligingsonderzoek bij SafeBreach, in een rapport gedeeld met The Hacker News.
“Dit was dezelfde dag dat de Iraanse autoriteiten een landelijke afsluiting van het internet hebben opgelegd als reactie op recente protesten, wat er waarschijnlijk op wijst dat zelfs aan de overheid gelieerde cybereenheden niet het vermogen of de motivatie hadden om kwaadaardige activiteiten binnen Iran uit te voeren.”
Het cyberbeveiligingsbedrijf zei dat het op 26 januari 2026 hernieuwde activiteit constateerde, toen de hackploeg nieuwe C2-servers opzette, een dag voordat de Iraanse regering de internetbeperkingen in het land versoepelde. De ontwikkeling is significant, niet in de laatste plaats omdat zij concreet bewijs levert dat de tegenstander door de staat wordt gesponsord en gesteund door Iran.
Infy is slechts een van de vele door de staat gesponsorde hackgroepen die vanuit Iran opereren en spionage-, sabotage- en beïnvloedingsoperaties uitvoeren die aansluiten bij de strategische belangen van Teheran. Maar het is ook een van de oudste en minder bekende groepen die erin is geslaagd onder de radar te blijven, geen aandacht te trekken en sinds 2004 stilletjes opereert door middel van ‘lasergerichte’ aanvallen gericht op individuen voor het verzamelen van inlichtingen.
In een rapport dat in december 2025 werd gepubliceerd, onthulde SafeBreach nieuwe handelstechnieken die verband hielden met de bedreigingsacteur, waaronder het gebruik van bijgewerkte versies van Foudre en Tonnerre, waarbij laatstgenoemde een Telegram-bot gebruikte die waarschijnlijk opdrachten zou geven en gegevens zou verzamelen. De nieuwste versie van Tonnerre (versie 50) heeft de codenaam Tornado.
Uit voortdurend inzicht in de activiteiten van de bedreigingsacteur tussen 19 december 2025 en 3 februari 2026 is gebleken dat de aanvallers de stap hebben gezet om de C2-infrastructuur voor alle versies van Foudre en Tonnerre te vervangen, samen met de introductie van Tornado-versie 51 die zowel HTTP als Telegram voor C2 gebruikt.
“Het gebruikt twee verschillende methoden om C2-domeinnamen te genereren: eerst een nieuw DGA-algoritme en vervolgens vaste namen met behulp van blockchain-data-de-obfuscatie”, aldus Bar. “Dit is een unieke aanpak waarvan we aannemen dat deze wordt gebruikt om meer flexibiliteit te bieden bij het registreren van C2-domeinnamen zonder de noodzaak om de Tornado-versie bij te werken.”
Er zijn ook tekenen dat Infy een eendaagse beveiligingsfout in WinRAR (CVE-2025-8088 of CVE-2025-6218) heeft ingezet om de Tornado-payload op een gecompromitteerde host te extraheren. De verandering in aanvalsvector wordt gezien als een manier om het succespercentage van zijn campagnes te vergroten. De speciaal vervaardigde RAR-archieven werden medio december 2025 vanuit Duitsland en India naar het VirusTotal-platform geüpload, wat erop wijst dat de twee landen mogelijk het doelwit waren.
In het RAR-bestand is een zelfuitpakkend archief (SFX) aanwezig dat twee bestanden bevat:
- AuthFWSnapin.dll, de belangrijkste Tornado versie 51 DLL
- reg7989.dll, een installatieprogramma dat eerst controleert of de antivirussoftware van Avast niet is geïnstalleerd, en zo ja, een geplande taak voor persistentie maakt en de Tornado DLL uitvoert
Tornado brengt via HTTP communicatie tot stand met de C2-server om de belangrijkste achterdeur- en oogstsysteeminformatie te downloaden en uit te voeren. Als Telegram wordt gekozen als de C2-methode, gebruikt Tornado de bot-API om systeemgegevens te exfiltreren en meer opdrachten te ontvangen.
Het is vermeldenswaard dat versie 50 van de malware een Telegram-groep gebruikte met de naam سرافراز (letterlijk vertaald naar ‘sarafraz’, wat ’trots’ betekent) met daarin de Telegram-bot ‘@ttestro1bot’ en een gebruiker met de handle ‘@ehsan8999100’. In de nieuwste versie is een andere gebruiker genaamd “@Ehsan66442” toegevoegd in plaats van laatstgenoemde.
“Net als voorheen heeft het botlid van de Telegram-groep nog steeds geen toestemming om de chatberichten van de groep te lezen”, zei Bar. “Op 21 december werd de oorspronkelijke gebruiker @ehsan8999100 toegevoegd aan een nieuw Telegram-kanaal genaamd Test, dat drie abonnees had. Het doel van dit kanaal is nog onbekend, maar we gaan ervan uit dat het wordt gebruikt voor commando en controle over de machines van het slachtoffer.”
SafeBreach zegt dat het erin is geslaagd alle berichten binnen de besloten Telegram-groep te extraheren, waardoor toegang mogelijk is tot alle geëxfiltreerde Foudre- en Tonnerre-bestanden sinds 16 februari 2025, inclusief 118 bestanden en 14 gedeelde links met gecodeerde opdrachten die door de bedreigingsacteur naar Tonnerre zijn gestuurd. Een analyse van deze gegevens heeft tot twee cruciale ontdekkingen geleid:
- Een kwaadaardig ZIP-bestand dat ZZ Stealer dropt, dat een aangepaste variant van de StormKitty-infostealer laadt
- Een “zeer sterke correlatie” tussen de ZZ Stealer-aanvalsketen en een campagne gericht op de Python Package Index (PyPI)-repository met een pakket met de naam “testfiwldsd21233s” dat is ontworpen om een eerdere versie van ZZ Stealer te laten vallen en de gegevens te exfiltreren via de Telegram-bot-API
- Een “zwakkere potentiële correlatie” tussen Infy en Charming Kitten (ook bekend als Educated Manticore) als gevolg van het gebruik van ZIP- en Windows Shortcut-bestanden (LNK) en een PowerShell-laadtechniek
“ZZ Stealer lijkt een eerste fase malware te zijn (zoals Foudre) die eerst omgevingsgegevens en screenshots verzamelt en alle desktopbestanden exfiltreert”, legt SafeBreach uit. “Bovendien zal het, na ontvangst van het commando ‘8==3’ van de C2-server, de tweede fase malware downloaden en uitvoeren, ook wel door de bedreigingsacteur genoemd als ‘8==3.'”
