これまで活動を停止したと見られていたイランの国家支援型脅威アクターが、世界中の重要インフラ組織を狙う高度な新しいマルウェア・キャンペーンとともに再浮上しました。
SafeBreach Labsが公開した新たな調査レポートによると、「Prince of Persia」(Infyとしても知られる)高度持続的脅威(APT)グループは、運用セキュリティとツール群を大幅に刷新し、3年間の沈黙を破りました。
2000年代初頭から活動していた同グループは、公に露見した後の2022年に姿を消したように見えました。
しかし、新たな証拠により、この期間を再整備に費やしていたことが確認されました。2025年9月時点で、同グループは並行するキャンペーンで新たなマルウェア亜種であるTonnerre v50およびFoudre v34を展開していることが観測されています。
戦術面で最も大きな変化は、コマンド&コントロール(C2)通信において従来のファイル転送プロトコル(FTP)手法を放棄した点です。
代わりに、検知回避のため、正規の暗号化メッセージング・プラットフォームであるTelegramの利用へと舵を切りました。
Telegram C2への移行
新しいTonnerre v50マルウェアは、感染したマシンを「سرافراز」(Sarafraz)というTelegramグループへリダイレクトします。これは「誇らしく」を意味します。
SafeBreach Labsは2019年以降、Prince of Persiaグループを追跡してきました。2022年に同グループが活動を停止したように見えた後も、当社の調査チームは、定義していたさまざまなアンカーやパターンに基づいて証拠の探索を継続しました。
脅威アクターはTelegramボットを利用し、Telegram APIを介してコマンドを発行し、被害者データを持ち出します。
研究者は、ボットと並行して管理者として運用されている特定のユーザーハンドル@ehsan8999100を特定しました。
このユーザーは、作戦の背後にいるイラン人ハッカーの一人である可能性が高く、2025年12月14日という直近まで活動していたことが確認されています。
ペルシャ系の名前の使用と、テヘランやマシュハドといった都市を指し示す一貫したIPジオロケーション・データは、イランの国家的利害への帰属を裏付けています。
Telegramへの移行と並行して、同グループは主要ローダーであるFoudre v34も更新しました。感染ベクターは、マクロを含む単純な文書から、埋め込み実行ファイルを含むMicrosoft Excelファイルへと進化しています。
「Notable Martyrs.zip」のようなこれらのファイルは、アンチウイルス検知を回避し、マルウェアのペイロードをドロップするよう設計されています。
同グループはまた、強靭なC2インフラを維持するために、複雑な新しいドメイン生成アルゴリズム(DGA)も採用しています。
- Tonnerre v50は、末尾が.privatedns.orgとなる13文字のドメインを生成する未知のDGAを使用します。
- Foudre v34は2段階のDGAプロセスを利用し、.siteや.ix.tcといったTLD上で10文字または12文字のドメインを生成します。
「テスト」インフラと「本番」インフラ
調査により、開発に用いられる「テスト」サーバーと、実際の被害者を狙う「本番」サーバーを区別した、巨大なインフラネットワークが明らかになりました。
セキュリティ担当者は、特定されたDGAパターンおよび不審なTelegram APIリクエストについてネットワークトラフィックを監視することが推奨されます。「Prince of Persia」は、活動中であるだけでなく、以前にも増して危険であることを示しています。
活動規模は従来の推定を大きく上回っており、同グループは複数のキャンペーンを同時に運用しています。
特定された被害者の大半は依然としてイランの反体制派である一方で、世界規模のネットワークおよび重要インフラを標的としていることは、対象範囲が拡大していることを示しています。
これらの作戦に対して「前例のない可視性」を維持できたことで、研究者は同グループのC2構造をマッピングでき、防御側が新たに出現する脅威を遮断するための重要な侵害指標(IoC)を提供しています。
翻訳元: https://gbhackers.com/iranian-apt/
