Bedreigingsjagers hebben nieuwe activiteiten ontdekt die verband houden met een Iraanse dreigingsacteur, bekend als Info (ook bekend als Prince of Persia), bijna vijf jaar nadat werd waargenomen dat de hackgroep zich richtte op slachtoffers in Zweden, Nederland en Turkije.
“De omvang van de activiteiten van Prince of Persia is belangrijker dan we aanvankelijk hadden verwacht”, zei Tomer Bar, vice-president van beveiligingsonderzoek bij SafeBreach, in een technisch overzicht gedeeld met The Hacker News. “Deze dreigingsgroep is nog steeds actief, relevant en gevaarlijk.”
Infy is een van de oudste geavanceerde persistente bedreigingsactoren (APT) die er bestaan, met bewijs van vroege activiteit daterend uit december 2004, volgens een rapport dat in mei 2016 werd uitgebracht door Palo Alto Networks Unit 42 en dat ook werd geschreven door Bar, samen met onderzoeker Simon Conant.
De groep is er ook in geslaagd ongrijpbaar te blijven en weinig aandacht te trekken, in tegenstelling tot andere Iraanse groepen zoals Charming Kitten, MuddyWater en OilRig. Bij de aanvallen van de groep is op prominente wijze gebruik gemaakt van twee soorten malware: een downloader en slachtofferprofiler genaamd Foudre die een tweede fase-implantaat levert, genaamd Tonnerre, om gegevens uit hoogwaardige machines te extraheren. Er wordt vastgesteld dat Foudre wordt verspreid via phishing-e-mails.
De nieuwste bevindingen van SafeBreach hebben een geheime campagne aan het licht gebracht die zich heeft gericht op slachtoffers in heel Iran, Irak, Turkije, India en Canada, maar ook in Europa, met behulp van bijgewerkte versies van Foudre (versie 34) en Tonnerre (versies 12-18, 50). De nieuwste versie van Tonnerre werd in september 2025 gedetecteerd.
De aanvalsketens zijn ook getuige geweest van een verschuiving van een Microsoft Excel-bestand met macro’s naar het insluiten van een uitvoerbaar bestand in dergelijke documenten om Foudre te installeren. Misschien wel het meest opvallende aspect van de modus operandi van de bedreigingsacteur is het gebruik van een domeingeneratie-algoritme (DGA) om zijn command-and-control (C2)-infrastructuur veerkrachtiger te maken.
Bovendien is het bekend dat de artefacten van Foudre en Tonnerre valideren of het C2-domein authentiek is door een RSA-handtekeningbestand te downloaden, dat de malware vervolgens decodeert met behulp van een openbare sleutel en vergelijkt met een lokaal opgeslagen validatiebestand.
SafeBreach’s analyse van de C2-infrastructuur heeft ook een map met de naam “key” blootgelegd die wordt gebruikt voor C2-validatie, samen met andere mappen om communicatielogboeken en de geëxfiltreerde bestanden op te slaan.
“Elke dag downloadt Foudre een speciaal handtekeningbestand dat door de bedreigingsacteur is versleuteld met een RSA-privésleutel en gebruikt vervolgens RSA-verificatie met een ingebedde publieke sleutel om te verifiëren dat dit domein een goedgekeurd domein is”, aldus Bar. “Het formaat van het verzoek is:
‘https://
Ook aanwezig op de C2-server is een “download”-map waarvan het huidige doel onbekend is. Het vermoeden bestaat dat het wordt gebruikt om te downloaden en te upgraden naar een nieuwe versie.
De nieuwste versie van Tonnerre bevat daarentegen een mechanisme om via de C2-server contact op te nemen met een Telegram-groep (genaamd “سرافراز”, wat “trots” betekent in het Perzisch). De groep bestaat uit twee leden: een Telegram-bot ‘@ttestró1bot’ die waarschijnlijk wordt gebruikt om opdrachten uit te voeren en gegevens te verzamelen, en een gebruiker met de handle ‘@ehsan8999100’.
Hoewel het gebruik van de berichtenapp voor C2 niet ongebruikelijk is, is het opmerkelijk dat de informatie over de Telegram-groep wordt opgeslagen in een bestand met de naam “tga.adr” in een map met de naam “t” op de C2-server. Het is vermeldenswaard dat het downloaden van het bestand “tga.adr” alleen kan worden geactiveerd voor een specifieke lijst met slachtoffer-GUID’s.
Ook ontdekt door het cyberbeveiligingsbedrijf zijn andere oudere varianten die tussen 2017 en 2020 in Foudre-campagnes werden gebruikt –
- Een versie van Foudre gecamoufleerd als Amaq News Finder om de malware te downloaden en uit te voeren
- Een nieuwe versie van een trojan genaamd MaxPinner die wordt gedownload door Foudre versie 24 DLL om Telegram-inhoud te bespioneren
- Een variant van de malware genaamd Deep Freeze, vergelijkbaar met Amaq News Finder, wordt gebruikt om slachtoffers te infecteren met Foudre
- Een onbekende malware genaamd Rugissement
“Ondanks de schijn dat ze in 2022 op de achtergrond waren geraakt, hebben de Prince of Persia-dreigingsactoren precies het tegenovergestelde gedaan”, aldus SafeBreach. “Onze voortdurende onderzoekscampagne naar deze productieve en ongrijpbare groep heeft kritische details over hun activiteiten, C2-servers en geïdentificeerde malwarevarianten in de afgelopen drie jaar aan het licht gebracht.”
De onthulling komt omdat DomainTools’ voortdurende analyse van Charming Kitten-lekken het beeld heeft geschetst van een hackgroep die meer als een overheidsafdeling functioneert, terwijl ze ‘spionageoperaties met administratieve precisie’ uitvoert. De bedreigingsacteur is ook ontmaskerd als achter de Moses Staff-persona.
“APT 35, dezelfde administratieve machine die de langdurige phishing-operaties van Teheran aanstuurt, beheerde ook de logistiek die het ransomware-theater van Moses Staff aandreef”, aldus het bedrijf.
“De veronderstelde hacktivisten en de cybereenheid van de overheid delen niet alleen instrumenten en doelwitten, maar ook hetzelfde crediteurensysteem. De propagandatak en de spionagetak zijn twee producten van één enkele workflow: verschillende ‘projecten’ onder hetzelfde interne ticketingregime.”
