ZURÜCK ZU NACHRICHTEN
Eilmeldung

Infy-Bedrohungsgruppe setzt Cyber-Spionage mit verbesserter C2-Infrastruktur fort

3 Min. LesezeitQuelle: The Hacker News

Die iranische APT-Gruppe Infy hat ihre Cyber-Spionageaktivitäten nach dem Ende der landesweiten Internetabschaltung wiederaufgenommen. Neue C2-Infrastruktur und Tarntechniken erschweren die Erkennung.

Iranische APT-Gruppe Infy nimmt Operationen mit verfeinerten Tarntechniken wieder auf

Die iranische Advanced Persistent Threat (APT)-Gruppe Infy (auch bekannt als Prince of Persia) hat ihre Cyber-Spionageoperationen nach dem Ende der landesweiten Internetabschaltung im Iran wieder aufgenommen. Der Bedrohungsakteur hat eine neue Command-and-Control (C2)-Infrastruktur eingesetzt und gleichzeitig seine Taktiken verfeinert, um der Erkennung zu entgehen, wie Sicherheitsforscher berichten.

Wichtige Entwicklungen und Zeitplan

  • Einstellung der Aktivitäten: Infy stellte die Wartung seiner bestehenden C2-Server am 8. Januar 2026 ein, was die erste operative Pause seit Beginn der Beobachtungen markierte.
  • Internetabschaltung: Die Inaktivität der Gruppe fiel mit der landesweiten Internetabschaltung im Iran zusammen, die Anfang Februar 2026 aufgrund innerer Unruhen verhängt wurde.
  • Wiederaufnahme der Operationen: Mit der Wiederherstellung der Internetdienste hat Infy seine C2-Infrastruktur neu aufgebaut und neue Tarntechniken integriert, um seine Aktivitäten zu verschleiern.

Technische Analyse der aktualisierten Taktiken

Infy hat in der Vergangenheit Regierungsstellen, Dissidenten und regionale Gegner mithilfe von Spear-Phishing-Kampagnen und maßgeschneiderter Malware ins Visier genommen. Obwohl spezifische Details zur neuen C2-Infrastruktur nicht veröffentlicht wurden, gehen Sicherheitsanalysten von folgenden wahrscheinlichen Verbesserungen aus:

  • Domain Generation Algorithms (DGAs): Möglicher Einsatz von DGAs zur dynamischen Generierung von C2-Domains, um Abschaltmaßnahmen zu erschweren.
  • Verkehrsverschleierung: Mögliche Implementierung von verschlüsselter Tunnelung (z. B. DNS-over-HTTPS oder VPN-basierte Kommunikation), um schädlichen Datenverkehr zu maskieren.
  • Living-off-the-Land Binaries (LOLBins): Verstärkte Nutzung legitimer Systemtools, um forensische Spuren zu reduzieren.
  • Fast-Flux-Hosting: Schnelle Rotation von IP-Adressen, die mit C2-Domains verknüpft sind, um Blacklisting zu umgehen.

Auswirkungen und Attribution

Die Operationen von Infy entsprechen den Zielen der staatlich geförderten Cyber-Spionage des Iran, mit Fokus auf Informationsbeschaffung und Überwachung. Die Wiederaufnahme der Aktivitäten unterstreicht Teherans anhaltende Investitionen in Cyber-Fähigkeiten trotz geopolitischer Störungen.

  • Ziele: Wahrscheinlich Regierungen des Nahen Ostens, Aktivisten und ausländische diplomatische Vertretungen.
  • Motivation: Vorrangig strategische Informationsbeschaffung, mit möglichen sekundären Zielen im Bereich Einflussoperationen.

Empfehlungen für Verteidiger

Sicherheitsteams sollten folgende Maßnahmen priorisieren, um die aktualisierten Taktiken von Infy zu erkennen und zu unterbinden:

  1. Netzwerküberwachung

    • Einsatz von Verhaltensanalysen, um anomale C2-Kommunikationsmuster zu identifizieren.
    • Überwachung von ungewöhnlichem ausgehendem Datenverkehr, insbesondere zu neu registrierten Domains oder bekannten schädlichen IP-Bereichen.

  2. Endpunktschutz

    • Implementierung von Anwendungswhitelisting, um die unautorisierte Ausführung von LOLBins zu blockieren.
    • Aktivierung von erweiterter Bedrohungserkennung (z. B. EDR/XDR-Lösungen), um verdächtige Prozessinjektionen oder laterale Bewegungen zu erkennen.

  3. Threat Intelligence

    • Abonnieren von APT-spezifischen Threat-Feeds, um über die sich weiterentwickelnde Infrastruktur von Infy auf dem Laufenden zu bleiben (z. B. C2-Domains, Malware-Hashes).
    • Korrelation von Indicators of Compromise (IOCs) mit iranisch verbundenen Bedrohungsgruppen, um Warnmeldungen zu kontextualisieren.

  4. Benutzersensibilisierung

    • Durchführung von zielgerichteten Phishing-Simulationen, um Benutzer im Erkennen von Spear-Phishing-Ködern zu schulen, einem häufigen Infektionsvektor von Infy.

  5. Incident Response

    • Entwicklung von Playbooks für iranische APT-Aktivitäten, einschließlich Eindämmungsstrategien für Infy-Malware-Familien (z. B. Foudre, Tonnerre).

Fazit

Die Rückkehr von Infy zu aktiven Operationen unterstreicht die Widerstandsfähigkeit staatlich geförderter Bedrohungsakteure und die Herausforderungen bei der Verfolgung von Gruppen, die sich an geopolitische Störungen anpassen. Organisationen in Hochrisikobereichen – insbesondere Regierung, Verteidigung und Menschenrechte – sollten davon ausgehen, dass Infy eine aktive Bedrohung bleibt, und ihre Abwehrmaßnahmen entsprechend anpassen.

Für weitere IOCs und technische Analysen verweisen wir auf Berichte von CrowdStrike, Mandiant oder die ursprüngliche Enthüllung auf The Hacker News (Quelle).

Teilen

TwitterLinkedIn