約5年にわたる活動停止が見られた後、イランの脅威グループInfy(Prince of Persiaとしても知られる)が再浮上しました。SafeBreachのセキュリティ研究者は、この長年続くサイバー諜報活動による新たなキャンペーンを特定しました。同グループは2004年以降、他のイラン系グループの影に隠れつつも、複数の国にわたって攻撃を実施してきました。
最近の作戦では、イラン、イラク、トルコ、インド、カナダ、および複数の欧州諸国の被害者が標的となりました。グループの中核ツールセットは変わらず、マルウェアファミリーであるFoudreとTonnerreに依存しています。Foudreはローダー兼偵察ツールとして機能し、Tonnerreの展開とシステム情報の収集を担います。最新の反復版であるFoudreバージョン34では、配布手法の強化が確認されました。マルウェアはMicrosoft Excelドキュメントに添付された実行ファイル内に直接埋め込まれるようになり、攻撃は大幅に目立ちにくくなっています。
コマンド&コントロール(C2)サーバーとの通信メカニズムも洗練されました。マルウェアは現在、ドメイン生成アルゴリズム(DGA)を用いており、インフラの追跡を困難にしています。さらにFoudreは、暗号化されたデジタル署名を取得するために毎日リモートサーバーへ接続し、埋め込まれた公開鍵を用いてそれを復号することで、「正しい」サーバーと通信していることを検証します。この手法により、トラフィックの傍受やスプーフィングの難易度が大きく上がります。
感染システムの管理に使用されるサーバー上では、活動ログ、持ち出されたファイル、そしてコマンドサーバーを検証するために用いられる認証データ用のディレクトリを含む、構造化された環境が発見されました。別途「download」とラベル付けされたディレクトリも確認されました。正確な用途は不明ですが、更新の配布を目的としている可能性があるとみられています。
最近のTonnerreのバージョンにおける新機能として、Telegram経由の通信が特に注目されました。解析により、このマルウェアは「سرافراز」(ペルシャ語で「誇り高い」)という名称のTelegramグループに接続できることが判明しました。このグループのメンバーは2名のみで、コマンド実行とデータ収集に用いられるとみられるボットと、@ehsan8999100という別名のユーザーです。このグループに関する詳細は、C2サーバー上の専用ファイルに保存されており、選別された一部の感染システムからのみアクセス可能です。
Infyのインフラを調査する中で、アナリストは2017年から2020年にかけて実際に使用されていた古いマルウェアサンプルも発見しました。これにはニュースソフトを装ったアプリケーション、Telegramの活動をスパイできるMaxPinnerトロイの木馬、そしてこれまで文書化されていなかったRugissementというマルウェアが含まれていました。
2022年以降、表向きは沈黙していたにもかかわらず、Infyは活動を止めたわけではなく、より深く地下に潜っただけでした。過去3年間の活動分析は、ツール開発の継続と攻撃の継続、そしてインフラと運用手法の双方における顕著な進化を示しています。
この再活性化を背景に、同レポートは改めて、サイバー諜報と国家構造の境界が曖昧であることを強調しています。別のイラン系グループであるCharming Kittenに関連するリークは、表向きには別個のサイバーアクターの背後で同一の管理メカニズムが機能している可能性を示唆しています。統一された指揮系統と兵站フレームワークの下で、フィッシングキャンペーンとランサムウェア攻撃の双方を監督している可能性があるということです。
