Nhóm tác nhân đe dọa Iran khó nắm bắt được gọi là Infy (còn gọi là Prince of Persia) đã phát triển các chiến thuật của mình như một phần nỗ lực nhằm che giấu dấu vết, ngay cả khi chúng đã chuẩn bị cơ sở hạ tầng command-and-control (C2) mới trùng với thời điểm chấm dứt tình trạng mất mạng internet trên diện rộng mà chế độ này áp đặt vào đầu tháng.
"Tác nhân đe dọa đã ngừng duy trì các máy chủ C2 của mình vào ngày 8 tháng 1 lần đầu tiên kể từ khi chúng tôi bắt đầu giám sát các hoạt động của chúng," Tomer Bar, phó chủ tịch nghiên cứu an ninh tại SafeBreach, cho biết trong một báo cáo được chia sẻ với The Hacker News.
"Đây là cùng ngày mà chính quyền Iran áp đặt lệnh cắt mạng internet trên toàn quốc để đáp lại các cuộc biểu tình gần đây, điều này có thể cho thấy rằng ngay cả các đơn vị mạng liên kết với chính phủ cũng không có khả năng hoặc động lực để thực hiện các hoạt động độc hại bên trong Iran."
Công ty an ninh mạng cho biết họ đã quan sát thấy hoạt động mới vào ngày 26 tháng 1 năm 2026, khi nhóm tin tặc thiết lập các máy chủ C2 mới, một ngày trước khi chính phủ Iran nới lỏng các hạn chế internet trong nước. Sự phát triển này rất đáng kể, không chỉ vì nó cung cấp bằng chứng cụ thể rằng đối thủ được nhà nước tài trợ và hậu thuẫn bởi Iran.
Infy chỉ là một trong nhiều nhóm tin tặc được nhà nước tài trợ hoạt động từ Iran, tiến hành các hoạt động gián điệp, phá hoại và gây ảnh hưởng phù hợp với lợi ích chiến lược của Tehran. Nhưng đây cũng là một trong những nhóm lâu đời nhất và ít được biết đến hơn, đã cố gắng hoạt động ẩn danh, không thu hút sự chú ý và hoạt động lặng lẽ kể từ năm 2004 thông qua các cuộc tấn công "tập trung cao độ" nhằm vào các cá nhân để thu thập thông tin tình báo.
Trong một báo cáo được công bố vào tháng 12 năm 2025, SafeBreach đã tiết lộ các kỹ thuật tấn công (tradecraft) mới liên quan đến tác nhân đe dọa này, bao gồm việc sử dụng các phiên bản cập nhật của Foudre và Tonnerre, trong đó Tonnerre sử dụng một Telegram bot để ra lệnh và thu thập dữ liệu. Phiên bản mới nhất của Tonnerre (phiên bản 50) đã được đặt tên mã là Tornado.
Tiếp tục giám sát các hoạt động của tác nhân đe dọa từ ngày 19 tháng 12 năm 2025 đến ngày 3 tháng 2 năm 2026 đã phát hiện ra rằng những kẻ tấn công đã thay thế cơ sở hạ tầng C2 cho tất cả các phiên bản của Foudre và Tonnerre, cùng với việc giới thiệu Tornado phiên bản 51 sử dụng cả HTTP và Telegram cho C2.
"Nó sử dụng hai phương pháp khác nhau để tạo tên miền C2: đầu tiên, một thuật toán DGA mới và sau đó là các tên cố định sử dụng giải mã dữ liệu blockchain," Bar cho biết. "Đây là một cách tiếp cận độc đáo mà chúng tôi cho rằng đang được sử dụng để cung cấp sự linh hoạt hơn trong việc đăng ký tên miền C2 mà không cần phải cập nhật phiên bản Tornado."
Cũng có những dấu hiệu cho thấy Infy đã vũ khí hóa một lỗ hổng bảo mật 1-day trong WinRAR (hoặc CVE-2025-8088 hoặc CVE‑2025‑6218) để trích xuất payload của Tornado trên một máy chủ bị xâm nhập. Sự thay đổi trong vector tấn công được coi là một cách để tăng tỷ lệ thành công của các chiến dịch. Các tệp nén RAR được tạo đặc biệt đã được tải lên nền tảng VirusTotal vào giữa tháng 12 năm 2025, cho thấy hai quốc gia có thể đã bị nhắm mục tiêu.
Có mặt trong tệp RAR là một self-extracting archive (SFX) chứa hai tệp -
- AuthFWSnapin.dll, DLL chính của Tornado phiên bản 51
- reg7989.dll, một trình cài đặt trước tiên kiểm tra xem phần mềm chống vi-rút Avast có được cài đặt hay không, và nếu có, sẽ tạo một scheduled task để duy trì hoạt động (persistence) và thực thi Tornado DLL
Tornado thiết lập liên lạc với máy chủ C2 qua HTTP để tải xuống và thực thi backdoor chính cũng như thu thập thông tin hệ thống. Nếu Telegram được chọn làm phương pháp C2, Tornado sẽ sử dụng bot API để exfiltrate dữ liệu hệ thống và nhận thêm lệnh.
Điều đáng chú ý là phiên bản 50 của malware đã sử dụng một nhóm Telegram có tên سرافراز (dịch theo nghĩa đen là "sarafraz," nghĩa là tự hào) có Telegram bot "@ttestro1bot" và một người dùng có handle "@ehsan8999100." Trong phiên bản mới nhất, một người dùng khác có tên "@Ehsan66442" đã được thêm vào thay thế cho người dùng trước.
"Như trước đây, thành viên bot của nhóm Telegram vẫn không có quyền đọc tin nhắn trò chuyện của nhóm," Bar nói. "Vào ngày 21 tháng 12, người dùng gốc @ehsan8999100 đã được thêm vào một kênh Telegram mới có tên Test với ba người đăng ký. Mục tiêu của kênh này vẫn chưa được biết, nhưng chúng tôi cho rằng nó đang được sử dụng để command and control các máy của nạn nhân."
SafeBreach cho biết họ đã quản lý để trích xuất tất cả tin nhắn trong nhóm Telegram riêng tư, cho phép truy cập tất cả các tệp Foudre và Tonnerre đã exfiltrate kể từ ngày 16 tháng 2 năm 2025, bao gồm 118 tệp và 14 liên kết được chia sẻ chứa các lệnh được mã hóa gửi đến Tonnerre bởi tác nhân đe dọa. Một phân tích dữ liệu này đã dẫn đến hai khám phá quan trọng -
- Một tệp ZIP độc hại thả ZZ Stealer, tải một biến thể tùy chỉnh của StormKitty infostealer
- Một "mối tương quan rất mạnh" giữa chuỗi tấn công của ZZ Stealer và một chiến dịch nhắm mục tiêu vào kho lưu trữ Python Package Index (PyPI) với một gói có tên "testfiwldsd21233s" được thiết kế để thả một phiên bản trước đó của ZZ Stealer và exfiltrate dữ liệu thông qua Telegram bot API
- Một "mối tương quan tiềm năng yếu hơn" giữa Infy và Charming Kitten (còn gọi là Educated Manticore) do việc sử dụng các tệp ZIP và Windows Shortcut (LNK), cùng với kỹ thuật PowerShell loader
"ZZ Stealer dường như là một malware giai đoạn đầu (giống như Foudre) mà trước tiên thu thập dữ liệu môi trường, ảnh chụp màn hình và exfiltrate tất cả các tệp trên desktop," SafeBreach giải thích. "Ngoài ra, khi nhận được lệnh '8==3' từ máy chủ C2, nó sẽ tải xuống và thực thi malware giai đoạn hai cũng được tác nhân đe dọa đặt tên là '8==3.'"
