伊朗APT组织Infy升级隐蔽C2基础设施 重启网络间谍活动

伊朗APT组织Infy采用精进规避技术重启网络间谍活动

伊朗高级持续性威胁（APT）组织Infy（又称Prince of Persia）在伊朗全国互联网中断结束后重新启动了其网络间谍活动。根据安全研究人员的报告，该威胁行为者在部署新型命令与控制（C2）基础设施的同时，还精进了其规避检测的战术。

关键进展与时间线

• 活动停止：Infy于2026年1月8日停止维护其现有C2服务器，标志着自跟踪以来的首次运营暂停。
• 互联网中断：该组织的活动停止与伊朗在2026年2月初因国内动荡实施的全国互联网关闭时间重合。
• 活动恢复：随着互联网服务的恢复，Infy已重新建立其C2基础设施，并融入新型规避技术以掩盖其活动。

更新战术的技术分析

Infy历史上通过鱼叉式网络钓鱼活动和定制恶意软件，针对政府实体、异见人士及地区对手。虽然新C2基础设施的具体细节尚未披露，但安全分析师指出以下可能的增强措施：

• 域名生成算法（DGAs）：可能使用DGAs动态生成C2域名，增加打击难度。
• 流量混淆：可能实施加密隧道（如DNS-over-HTTPS或基于VPN的通信）以掩盖恶意流量。
• Living-off-the-Land二进制文件（LOLBins）：增加对合法系统工具的依赖，减少取证痕迹。
• 快速流量托管（Fast-Flux Hosting）：快速轮换与C2域名关联的IP地址，以规避黑名单。

影响与归因

Infy的活动与伊朗国家支持的网络间谍目标一致，专注于情报收集与监视。该组织的活动恢复凸显了德黑兰尽管面临地缘政治动荡，仍持续投资于网络能力。

• 目标：可能包括中东政府、活动人士及外国外交使团。
• 动机：主要为战略情报收集，次要目标可能与影响力行动相关。

防御者建议

安全团队应优先采取以下缓解措施，以检测和破坏Infy的更新战术：

1. 网络监控

   • 部署行为分析以识别异常的C2通信模式。
   • 监控异常出站流量，特别是指向新注册域名或已知恶意IP范围的流量。

2. 终端防护

   • 实施应用程序白名单以阻止未经授权的LOLBins执行。
   • 启用高级威胁检测（如EDR/XDR解决方案）以标记可疑进程注入或横向移动。

3. 威胁情报

   • 订阅APT专属威胁情报源，以跟踪Infy不断演变的基础设施（如C2域名、恶意软件哈希）。
   • 将入侵指标（IOCs）与伊朗相关威胁组织关联，以提供警报背景信息。

4. 用户意识

   • 开展针对性网络钓鱼模拟，培训用户识别鱼叉式网络钓鱼诱饵，这是Infy常见的感染媒介。

5. 事件响应

   • 制定针对伊朗APT活动的剧本，包括针对Infy恶意软件家族（如Foudre、Tonnerre）的遏制策略。

结论

Infy的重新活跃凸显了国家支持的威胁行为者的韧性，以及跟踪适应地缘政治动荡的组织所面临的挑战。高风险行业——特别是政府、国防和人权领域的组织——应假设Infy仍是活跃威胁，并相应调整防御措施。

有关更多IOCs和技术分析，请参阅CrowdStrike、Mandiant或原始Hacker News披露（来源）。