کمیته رکن چهارم – گروه سایبری Infy که به نام Prince of Persia نیز شناخته میشود، پس از چند سال سکوت دوباره با فعالیتهای جاسوسی و بدافزاری جدید بازگشته است. پژوهشگران امنیتی از شناسایی نسخههای تازهای از بدافزارهای این گروه خبر دادهاند که در کشورهای مختلف از جمله ایران، عراق، ترکیه، هند، کانادا و بخشهایی از اروپا مشاهده شدهاند.
به گزارش کمیته رکن چهارم، گروه Infy از قدیمیترین گروههای APT محسوب میشود که از سال ۲۰۰۴ فعال است. این گروه بیشتر با ابزارهایی مانند Foudre و Tonnerre برای جمعآوری اطلاعات و جاسوسی شناخته میشود. در حملات اخیر، روشهای جدیدی مانند استفاده از فایلهای اجرایی بهجای ماکروی Excel، بهکارگیری الگوریتم تولید دامنه (DGA) و تأیید دامنهها با کلید رمزنگاری RSA دیده شده است.
یکی از ویژگیهای جدید این حملات، استفاده از ارتباط رمزنگاریشده از طریق تلگرام است. بدافزار Tonnerre با یک ربات و کاربر خاص در تلگرام در ارتباط بوده و اطلاعات در فایلی به نام tga.adr ذخیره میشود که فقط برای سیستمهای خاص قابل دسترسی است.
علاوه بر ابزارهای جدید، نسخههایی از بدافزارهای قدیمی مانند MaxPinner و Rugissement نیز شناسایی شدهاند. محققان معتقدند که Infy نهتنها خاموش نشده، بلکه فعالیتهایش را مخفیانه و هدفمند ادامه داده است.
در همین حال، جزئیات تازهای از گروه Charming Kitten نیز منتشر شده که نشان میدهد ساختار این گروهها شبیه یک واحد رسمی دولتی با سیستم داخلی هماهنگ است، نه صرفاً تیمی هکری.
