Powrót Księcia Persji: Irańska Grupa APT Infy Wraca z Nowym Arsenałem i Celami

utworzone przez Redakcja VIPentest | wtorek, 23.12.2025, 16:35 | Narzędzia cybersecurity
Infy (Prince of Persia) APT Resurgence: Tracing Iran-Linked Cyberespionage Campaigns Targeting Governmental Institutions
Podsumowanie najważniejszych informacji:
  • Grupa APT Infy (Prince of Persia) powróciła z nowym arsenałem po 2022 roku.
  • Grupa celuje głównie w dysydentów, instytucje rządowe oraz infrastrukturę krytyczną.
  • Infy ewoluowała, dodając nowe warianty malware jak Tonnerre v50.
  • Stosowane techniki obejmują spear-phishing oraz zaawansowaną komunikację przez Telegram.
W świecie cyberbezpieczeństwa cisza rzadko oznacza spokój. Przykładem tego jest powrót irańskiej grupy APT Infy. Grupa działa od 2007 roku, atakując rządowe i dysydenckie cele w ponad 35 krajach, w tym w Polsce.
Infy, znana również jako Prince of Persia, wykazuje najnowszy poziom zaawansowanego zagrożenia dla kluczowych sektorów. Po pozornym zawieszeniu działalności, wznowiła operacje z unowocześnionym arsenałem oraz nowymi technikami komunikacyjnymi, co czyni ją jednym z najważniejszych aktorów na scenie globalnego szpiegostwa cyfrowego.

Powrót Księcia Persji: Irańska Grupa APT Infy Wraca z Nowym Arsenałem i Celami

W świecie cyberbezpieczeństwa cisza rzadko oznacza spokój. Często jest to tylko preludium do burzy. Jednym z najbardziej wymownych przykładów tej zasady jest niedawny powrót irańskiej grupy APT Infy (Prince of Persia), zaawansowanego i uporczywego zagrożenia (Advanced Persistent Threat), które po okresie pozornej bezczynności ponownie weszło na globalną scenę z jeszcze większą siłą i wyrafinowaniem. Dla liderów biznesu, CISO i menedżerów IT w Polsce i na świecie, ta historia to nie tylko kronika cyfrowego szpiegostwa. To przede wszystkim studium przypadku pokazujące, jak ewoluują zagrożenia sponsorowane przez państwa i dlaczego ciągła czujność oraz proaktywna obrona są kluczowe dla ochrony organizacji.

Grupa Infy, znana również pod przydomkiem “Prince of Persia” (Książę Persji), od lat prowadzi operacje szpiegowskie na szeroką skalę. Jej działania, sięgające co najmniej 2007 roku, koncentrują się na instytucjach rządowych, irańskich dysydentach oraz organizacjach w ponad 35 krajach. Po okresie uśpienia, spowodowanym m.in. likwidacją części jej infrastruktury dowodzenia i kontroli (C2) w 2022 roku, analitycy z czołowych firm zajmujących się cyberbezpieczeństwem potwierdzili jej powrót. Co więcej, grupa nie tylko wznowiła działalność, ale także znacząco unowocześniła swój arsenał, wprowadzając nowe warianty złośliwego oprogramowania, takie jak Tonnerre v50, oraz innowacyjne techniki komunikacji C2 oparte na platformie Telegram. W tym artykule przyjrzymy się dogłębnie historii i ewolucji tej groźnej grupy, przeanalizujemy jej najnowsze kampanie oraz przedstawimy praktyczne wnioski, które pomogą chronić Twoją organizację przed tego typu zaawansowanymi zagrożeniami.

Kim jest Infy? Dekada w cieniu cyfrowego szpiegostwa

Historia grupy Infy to opowieść o cierpliwości, adaptacji i precyzyjnie ukierunkowanym szpiegostwie cyfrowym. Chociaż jej działalność sięga 2007 roku, szerszej publiczności została przedstawiona dopiero w 2016 roku dzięki przełomowemu raportowi opublikowanemu przez Unit 42, zespół badawczy z Palo Alto Networks. Jak donoszą analitycy, to właśnie wtedy po raz pierwszy zidentyfikowano i nazwano grupę “Prince of Persia” od nazwy jej pierwotnego złośliwego oprogramowania. Badania Unit 42 ujawniły, że jej operacje były skierowane głównie przeciwko irańskim dysydentom, rządom w Europie i na Bliskim Wschodzie, a także perskojęzycznym mediom, takim jak BBC Persian, zwłaszcza w okresie poprzedzającym wybory prezydenckie w Iranie w 2013 roku.

Atrybucja grupy do Iranu opiera się na solidnych dowodach. Według analiz CSO Online i SafeBreach, profil ofiar (głównie Irańczycy lub osoby o statusie dysydenta), geolokalizacja adresów IP maszyn testowych wykorzystywanych przez operatorów, a nawet perskie nazwy, takie jak pseudonim “Ehsan” używany na kanałach Telegram do zarządzania infrastrukturą C2, jednoznacznie wskazują na jej irańskie pochodzenie. Już w 2010 roku grupa wykazywała się technicznym zaawansowaniem, kompromitując strony internetowe związane z organizacją Dżundallah przy użyciu exploitów ActiveX.

Po publicznym ujawnieniu i serii działań obronnych, które doprowadziły do likwidacji części infrastruktury C2, aktywność grupy Infy pozornie ucichła po 2022 roku. Jednak, jak potwierdzają najnowsze raporty The Hacker News i SafeBreach, był to jedynie okres przegrupowania. Grupa kontynuowała swoje operacje “pod radarem”, przygotowując się do powrotu na jeszcze większą skalę.

Wieloletnie śledztwo prowadzone przez firmę SafeBreach rzuciło nowe światło na zakres jej działalności, który okazał się znacznie szerszy, niż pierwotnie zakładano. Badacze odkryli kampanie wymierzone nie tylko w dysydentów, ale także w bezpieczeństwo infrastruktury krytycznej i organizacje społeczeństwa obywatelskiego. Co istotne, we wszystkich tych działaniach nie zidentyfikowano żadnych motywów finansowych. Jak podkreślają analitycy SafeBreach, celem grupy jest wyłącznie szpiegostwo cyfrowe – gromadzenie danych wywiadowczych na zlecenie państwa.

Ewolucja Arsenału: Od Infy do Tonnerre v50

Jednym z kluczowych czynników decydujących o skuteczności i długowieczności grupy Infy jest jej zdolność do ciągłego rozwijania i adaptowania swojego arsenału złośliwego oprogramowania. Operatorzy grupy wykazują się metodycznością, często nadając swoim narzędziom francuskie nazwy, co dodaje im specyficznego charakteru. Poniżej przedstawiamy ewolucję ich kluczowych narzędzi, opartą na analizach Palo Alto Networks, CSO Online i SafeBreach:

Rodzina MalwareOpisOś czasuKluczowe cechy
Infy (oryginalny)Pierwszy backdoor grupy, zidentyfikowany przez system WildFire w 2015 roku w wiadomościach e-mail pochodzących ze skompromitowanego konta Gmail w Izraelu.2007–2016Zestaw narzędzi szpiegowskich; oznaczony tagiem “Infy” w systemie AutoFocus firmy Palo Alto Networks, jak podaje Unit 42.
Foudre (“błyskawica”)Mapper pierwszego etapu, służący do profilowania ofiary. W przypadku celów o wysokiej wartości pobierał ładunek drugiego etapu, Tonnerre.2017+Wiele aktywnych wariantów wykorzystujących algorytmy generowania domen (DGA) w celu zapewnienia odporności na likwidację serwerów C2.
Tonnerre (“grzmot”)Payload drugiego etapu. Najnowsza wersja, v50, została wyposażona w nowe mechanizmy komunikacji C2.2018+ (wprowadzenie v8); aktywne po 2022Odporna infrastruktura C2; wykorzystanie API Telegrama do komunikacji z wybranymi, cenniejszymi celami.
Rugissement (“ryk”)Dodatkowa rodzina malware zidentyfikowana przed 2022 rokiem.Przed 2022Ograniczone informacje; część rozbudowanego arsenału grupy.
MaxPinnerTrojan oparty na komunikacji przez Telegram.2021Wykorzystywany w kampaniach grupy.
Inne narzędziaSformatowane binaria, przynęty phishingowe (np. dokumenty ze zdjęciem i numerem telefonu irańskiego przywódcy miejskiego).RóżneRozpowszechniane głównie za pomocą kampanii spear-phishingowych.

Ewolucja ta jest szczególnie widoczna w działaniach po 2022 roku. Jak donosi CSO Online, badacze zidentyfikowali nowe algorytmy DGA, a także pliki pobierane na zainfekowane maszyny, które umożliwiały komunikację za pośrednictwem Telegrama. Co ciekawe, na jednym z kanałów Telegram używanych do celów C2, operator o pseudonimie “Ehsan” był aktywny jeszcze 13 grudnia, co potwierdza ciągłość operacji.

Grupa stosuje również zaawansowane techniki mające na celu uniknięcie wykrycia. Na przykład, jak zauważa SafeBreach, operatorzy potrafią zdalnie usuwać infekcje z maszyn ofiar uznanych za mało wartościowe lub dynamicznie migrować do nowej infrastruktury C2, aby utrudnić śledzenie. Firmy takie jak Palo Alto Networks chronią swoich klientów przed tymi zagrożeniami za pomocą systemów detekcji malware, takich jak WildFire, oraz poprzez flagowanie złośliwych domen.

Wielki Powrót: Działalność Grupy po 2022 Roku

Okres pozornej ciszy po 2022 roku okazał się strategiczną pauzą. Grupa Infy powróciła z nową energią, prowadząc równoległe kampanie z wykorzystaniem co najmniej trzech różnych wariantów Foudre i Tonnerre. Według analiz SafeBreach i The Hacker News, ich operacje opierały się na nowo zbudowanych strukturach C2 i wykorzystywały irańskie adresy IP, co dodatkowo potwierdza atrybucję.

Badacze z SafeBreach, śledząc działania grupy w czasie rzeczywistym w 2022 roku, zaobserwowali niezwykłą zwinność operacyjną. Operatorzy wysyłali polecenia, które miały na celu całkowite usunięcie śladów infekcji Foudre z niektórych systemów lub przekierowanie komunikacji do świeżo postawionych serwerów dowodzenia i kontroli. To pokazuje, jak dynamicznie grupa zarządza swoimi zasobami i zaciera ślady.

Przełomowe okazały się wspólne badania izraelskich firm Check Point i SafeBreach, o których informuje Cyberscoop. W grudniu 2025 roku zidentyfikowano 24 ofiary w 12 krajach, co dowodzi globalnego zasięgu grupy. Kampanie te koncentrowały się na dysydentach, wykorzystując przynęty celowane w użytkowników komputerów PC, a także zaktualizowane wersje malware Tonnerre. Wcześniejsze działania uderzały głównie w cele w Szwecji, Holandii i Turcji, jednak obecne kampanie pokazują znacznie szerszy zasięg geograficzny oraz, co ważniejsze, wzrost wyrafinowania w zakresie bezpieczeństwa operacyjnego (opsec) i stosowania kryptografii w komunikacji C2.

Tomer Bar, badacz z SafeBreach, w wypowiedzi dla The Hacker News dosadnie podsumował status grupy: jest ona “wciąż aktywna, istotna i niebezpieczna”, a skala jej infrastruktury C2 i arsenału złośliwego oprogramowania jest imponująca. Porównując Infy do innej znanej irańskiej grupy, Domestic Kitten, która również specjalizuje się w szpiegowaniu dysydentów, analitycy z Cyberscoop zauważają, że zasięg działania Prince of Persia jest znacznie szerszy.

Cele, Taktyki i Procedury (TTPs): Jak Działa Prince of Persia?

Zrozumienie sposobu działania grupy Infy jest kluczowe do zbudowania skutecznej obrony. Na podstawie dostępnych badań można precyzyjnie scharakteryzować jej cele oraz stosowane taktyki, techniki i procedury (TTPs).

Główne cele:

  • Dysydenci irańscy: Stanowią trzon celów grupy od samego początku jej istnienia. Przykładem jest “Operation Mermaid”, kampania skierowana przeciwko duńskim dyplomatom.
  • Instytucje rządowe: Grupa atakowała cele rządowe w Europie i na Bliskim Wschodzie, co potwierdzają m.in. ślady prowadzące do skompromitowanych kont Gmail powiązanych z Izraelem.
  • Infrastruktura krytyczna: Jak odkrył SafeBreach, grupa rozszerzyła swoje zainteresowania o ten strategicznie ważny sektor.
  • Media perskojęzyczne: Ataki na media takie jak BBC Persian miały na celu monitorowanie i potencjalne zakłócanie przepływu informacji.

Zasięg geograficzny:

Działania grupy zostały zidentyfikowane w ponad 35 krajach. Najnowsze kampanie, jak podaje Cyberscoop, objęły 12 państw i 24 konkretne ofiary, co świadczy o globalnym, choć precyzyjnie ukierunkowanym, zasięgu.

Taktyki, Techniki i Procedury (TTPs):

  • Spear-phishing: Główny wektor ataku. Grupa wykorzystuje starannie przygotowane wiadomości e-mail z trojanizowanymi dokumentami, aby skłonić ofiary do uruchomienia złośliwego oprogramowania.
  • Profilowanie ofiar: Infy starannie selekcjonuje swoje cele. Jak donoszą badacze, zainfekowane systemy uznane za mało interesujące są zdalnie “czyszczone” z malware, aby zminimalizować ryzyko wykrycia.
  • Odporna infrastruktura C2: Grupa stosuje częstą rotację serwerów C2 oraz algorytmy generowania domen (DGA), co utrudnia jej zablokowanie.
  • Wykorzystanie Telegrama: W przypadku celów o wysokiej wartości (tzw. “elite ops”), komunikacja C2 odbywa się za pośrednictwem API Telegrama. Jest to sprytna taktyka, ponieważ ruch ten jest szyfrowany i może łatwo wtopić się w legalną komunikację.
  • Powiązania z innymi aktorami: Badania The Hacker News wskazują na powiązania Infy z inną znaną irańską grupą, APT35 (Charming Kitten). Obie grupy dzielą narzędzia, cele, a nawet wewnętrzny system ticketowy, co sugeruje, że działają jak “departamenty rządowe” z podziałem na zadania propagandowe i szpiegowskie. Obie cechuje niemal “urzędnicza precyzja” w prowadzeniu operacji szpiegowskich.

Ochrona Przed Zaawansowanymi Zagrożeniami: Praktyczne Wnioski dla Biznesu

Historia grupy Infy to cenna lekcja dla każdej organizacji. Pokazuje, że zagrożenia APT są niezwykle trwałe, potrafią przetrwać próby neutralizacji i powracają silniejsze. Ignorowanie takich aktorów, nawet jeśli wydają się nieaktywni, jest strategicznym błędem. Jak więc chronić swoją firmę przed tak wyrafinowanym przeciwnikiem?

  1. Zaawansowana Ochrona Poczty Elektronicznej: Skoro spear-phishing jest głównym wektorem ataku, inwestycja w zaawansowane systemy filtrowania e-maili, które potrafią analizować załączniki i linki w poszukiwaniu złośliwej zawartości, jest absolutną koniecznością.
  2. Szkolenia i Budowanie Świadomości: Technologia to nie wszystko. Najsłabszym ogniwem często jest człowiek. Regularne, angażujące szkolenia z zakresu cyberbezpieczeństwa uczą pracowników, jak rozpoznawać próby phishingu i inne techniki inżynierii społecznej.
  3. Segmentacja Sieci i Ochrona Infrastruktury Krytycznej: Skoro grupy takie jak Infy celują w infrastrukturę krytyczną, kluczowe jest oddzielenie sieci korporacyjnej (IT) od sieci operacyjnej (OT). Segmentacja ogranicza potencjalne szkody w przypadku udanego włamania, uniemożliwiając atakującym swobodne przemieszczanie się po systemach.
  4. Threat Intelligence i Proaktywne Polowanie na Zagrożenia (Threat Hunting): Nie można czekać, aż atakujący uderzą. Korzystanie z usług dostarczających aktualne dane o zagrożeniach (threat intelligence) pozwala poznać TTPs grup takich jak Infy. Wskaźniki kompromitacji (IOCs), takie jak hashe plików czy adresy serwerów C2 udostępnione przez SafeBreach, powinny być aktywnie wykorzystywane do przeszukiwania własnej sieci.
  5. Regularne Testy Penetracyjne i Symulacje Ataków (Red Teaming): Najlepszym sposobem na sprawdzenie skuteczności swoich zabezpieczeń jest próba ich przełamania. Testy penetracyjne i zaawansowane symulacje ataków (red teaming) pozwalają zidentyfikować luki w obronie, zanim wykorzystają je prawdziwi napastnicy. Symulowanie TTPs stosowanych przez grupy APT, takie jak Prince of Persia, daje bezcenną wiedzę na temat realnej odporności organizacji.
  6. Monitorowanie Nietypowego Ruchu Sieciowego: Wykorzystanie przez Infy niestandardowych kanałów komunikacji, takich jak Telegram, podkreśla znaczenie monitorowania ruchu wychodzącego z sieci. Systemy do analizy ruchu sieciowego (NTA) mogą pomóc wykryć anomalie wskazujące na komunikację z serwerami C2.

Krajobraz zagrożeń stale się zmienia, a grupy APT takie jak Infy (Prince of Persia) nieustannie doskonalą swoje metody. Ochrona przed nimi wymaga czegoś więcej niż tylko standardowych rozwiązań antywirusowych. Wymaga partnera, który rozumie sposób myślenia atakujących i potrafi zweryfikować Twoje zabezpieczenia z ich perspektywy.

W VIPentest specjalizujemy się w dostarczaniu najwyższej jakości usług z zakresu cyberbezpieczeństwa. Nasz zespół ekspertów przeprowadza zaawansowane testy penetracyjne i symulacje red teaming, które pozwalają ocenić realną odporność Twojej organizacji na ataki inspirowane działaniami najbardziej wyrafinowanych grup hakerskich. Pomagamy zidentyfikować słabe punkty, zanim staną się one bramą dla wroga.

Jeśli chcesz mieć pewność, że Twoja firma jest przygotowana na zagrożenia nowej generacji, skontaktuj się z nami. Porozmawiajmy o tym, jak możemy wzmocnić Twoje cyberbezpieczeństwo.

Odwiedź naszą stronę kontaktową: strona kontaktowa

Checklista: Kluczowe kroki

  • Zainwestuj w zaawansowane systemy ochrony email z analizą załączników.
  • Przeprowadzaj regularne szkolenia pracowników na temat rozpoznawania phishingu.
  • Zapewnij segmentację sieci IT i OT dla ochrony infrastruktury krytycznej.
  • Wykorzystaj dane wywiadowcze o zagrożeniach dla monitorowania sieci.
  • Regularnie wykonuj testy penetracyjne i symulacje red teaming.
  • Monitoruj ruch sieciowy pod kątem nietypowej komunikacji wychodzącej.
  • Wdróż polityki restrykcyjnego dostępu do danych i systemów.

FAQ

Kim jest grupa APT Infy (Prince of Persia)?

Grupa APT Infy, znana także jako “Prince of Persia”, to zaawansowane zagrożenie cybernetyczne sponsorowane przez państwo. Od 2007 roku prowadzi operacje szpiegowskie skierowane m.in. na irańskich dysydentów i instytucje rządowe w ponad 35 krajach.

Jakie nowe zagrożenia wynikają z powrotu grupy Infy?

Po okresie pozornej ciszy grupa Infy powróciła z unowocześnionym arsenałem, w tym z nowymi wersjami złośliwego oprogramowania, jak Tonnerre v50, oraz innowacyjnymi technikami komunikacji z serwerami dowodzenia i kontroli (C2) w oparciu o platformę Telegram.

Jakie są główne taktyki używane przez grupę Infy w ich operacjach?

Grupa Infy korzysta głównie ze spear-phishingu, zaawansowanej infrastruktury C2, korzystania z algorytmów generowania domen (DGA) i wykorzystania API Telegrama do zabezpieczonej komunikacji. Potrafi także selektywnie usuwać swoje ślady z systemów uznanych za mniej wartościowe.

Jak można chronić swoją organizację przed zagrożeniami typu APT?

Aby chronić się przed zagrożeniami APT, należy inwestować w zaawansowane systemy ochrony poczty elektronicznej, przeprowadzać regularne szkolenia dla pracowników, segmentować sieć, korzystać z threat intelligence oraz przeprowadzać testy penetracyjne i symulacje red teaming.

Jakie są główne cele ataków grupy Infy?

Główne cele ataków grupy Infy to irańscy dysydenci, instytucje rządowe, infrastruktura krytyczna oraz perskojęzyczne media, takie jak BBC Persian.

Jakie kroki podjęto, aby zwalczać działalność grupy Infy?

Infrastruktura C2 grupy Infy była likwidowana po jej ujawnieniu, jednak grupa kontynuuje swoje operacje, ucząc się z doświadczeń i dynamicznie adaptując swoje techniki działania, co pokazuje ich zwinność i zdolność do przegrupowania się.

Kontakt

Bezpieczeństwo zaczyna się od rozmowy! Chętnie udzielimy szczegółowych informacji!

Skontaktuj się z nami:

📧 Email: kontakt@vipentest.com
📞 Telefon: +48 735-380-170

    *Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę VIPentest Sp. z o.o. Więcej informacji o tym, jak chronimy powierzone nam dane osobowe i na jakiej podstawie je przetwarzamy znajduje się w Polityce Prywatności oraz RODO

     

    AI

    Informacja o powstawaniu treści

    Artykuł został opracowany z wykorzystaniem narzędzi wspieranych sztuczną inteligencją, a wszystkie treści zostały zweryfikowane, uzupełnione i zatwierdzone przez ekspertów VIPentest. Publikujemy wyłącznie informacje zgodne z aktualną wiedzą branżową, najlepszymi praktykami i doświadczeniem naszego zespołu, dbając o najwyższą rzetelność i dokładność prezentowanych materiałów.

    Redakcja VIPentest

    Redakcja VIPentest to zespół doświadczonych specjalistów z obszaru cyberbezpieczeństwa, którzy na co dzień realizują testy penetracyjne, audyty bezpieczeństwa IT oraz projekty doradcze dla firm z sektora finansowego, technologicznego, e-commerce i infrastruktury krytycznej.

    Tworzymy treści w oparciu o praktyczne doświadczenie ofensywne, realne scenariusze ataków oraz aktualne wymagania regulacyjne, takie jak NIS2, DORA, MiCA, ISO 27001 i inne standardy bezpieczeństwa informacji.

    Autorami i recenzentami treści są pentesterzy, inżynierowie bezpieczeństwa oraz konsultanci IT.

    Weryfikacja merytoryczna: Dawid Bakaj · Founder & Offensive Security Expert, VIPentest

    Przeczytaj Również

    1. Złośliwe Rozszerzenia Przeglądarki jako Zagrożenie dla Biznesu
    2. Testy penetracyjne w software house – klucz do bezpieczeństwa
    3. Testy penetracyjne TLPT w obliczu DORA i TIBER-EU
    4. Korzyści z outsourcingu cyberbezpieczeństwa dla polskich firm
    5. Ujawnienie kodu źródłowego mObywatel – analiza i konsekwencje
    6. Jak KNF chroni firmy przed atakami ransomware za pomocą PsExec

    Tagi

    APT Infycyberbezpieczeństwocyberzagrożeniainfrastruktura krytycznamalwareszpiegostwoTelegramTTPs