Prince of Persia(別名Infy)として知られる謎めいたイランのハッキンググループは、引退にはほど遠い存在です。約3年近く活動を停止したように見えていたにもかかわらず、SafeBreach Labsが新たに公開した調査によれば、同グループは活動を継続しているだけでなく、その影響範囲を大幅に拡大していることが示されています。
参考までに、このグループは高度持続的脅威(APT)に分類されます。APTとは国家支援型ハッカーのカテゴリで、イラン政府との関連が指摘されており、2007年以降、外交官や活動家、重要システムを静かに標的にしてきました。
侵害シミュレーション分野のリーダーであるSafeBreachは、こうした隠れた活動を発見し、その調査内容をHackread.comと共有しました。同社チームは2019年以降このグループを追跡しており、現在は「従来の理解を超える高度なツールを用い、より広い規模で活動している」と指摘しています。
Operation MermaidからTelegramへ
2016年に初めて発見されたこのグループは、デンマークの外交官を標的にしたOperation Mermaidで悪名を高めました。歴史的に、金銭の窃取よりも、2013年のイラン選挙やBBC Persiaのようなメディアなど、政治的標的に重点を置いてきました。大規模な停止の後、同グループは進化し、作戦の主導権を取り戻すためにFoudreおよびTonnerreというマルウェアファミリーを導入しました。
最も驚くべき変化の一つは、悪性ソフトウェアの制御にTelegramを利用するようになった点です。さらに調査を進めたところ、彼らは「سرافراز」(「誇らしく」の意)という名称の非公開Telegramグループを使用していることが判明しました。
さらに調査したSafeBreachの研究者は、この作戦の背後にいる特定のユーザープロフィールとして@ehsan8999100を特定しました。このアカウントは2025年12月13日という最近まで活動していました。このオペレーターは、コマンド送信とデータ窃取に用いられるTelegramボット(tga.adr)を管理している可能性が高いとされています。
雷鳴と稲妻の攻撃
同グループは、段階的に機能する特徴的なマルウェアの組み合わせであるFoudre(稲妻)とTonnerre(雷鳴)を引き続き使用しています。Foudreは「偵察役」として機能し、Notable Martyrs.zipといった名称の偽Excelファイルを介してコンピュータに感染し、被害者を特定します。一方のTonnerreは、価値の高い標的が見つかった後に投入される、より強力なツールです。最新バージョンのTonnerre v50は、2025年後半に検出されました。
研究者によれば、同グループは複数の亜種を並行運用しており、Domain Generation Algorithm(DGA)と呼ばれる特殊なコードを使ってWebアドレスを絶えず変更し、ブロックを回避しています。Amaq News Finder、Deep Freeze、MaxPinner v8といった他の亜種も、被害者のTelegramアカウントを監視していることが確認されました。
攻撃者のコードを解読
注目すべき点として、ハッカーが隠蔽を図っていたにもかかわらず、SafeBreachは攻撃者自身のファイルをダウンロードする方法を見つけ出しました。サーバーのファイル命名規則における「固定された時間差」を特定することで、チームは2021年まで遡る窃取データにアクセスできました。
同グループはイランの反体制派に焦点を当てている一方で、被害者は欧州、イラク、トルコ、インド、カナダなど世界各地で確認されました。SafeBreachのセキュリティリサーチ担当VPであるTomer Bar氏がブログ投稿で説明しているように、これらの発見は、このグループが「活動中で、依然として重要で、危険である」ことを示しています。
翻訳元: https://hackread.com/iran-apt-prince-of-persia-resurfaces/
