گروه تهدید ایرانی موسوم به Infy (معروف به Prince of Persia) تاکتیکهای خود را به عنوان بخشی از تلاشها برای پنهانسازی ردپای خود، حتی با آمادهسازی زیرساختهای جدید فرماندهی و کنترل (C2) همزمان با پایان قطعی گسترده اینترنت، تکامل داده است.
شرکت SafeBreach گفت: «این عوامل تهدید برای اولین بار از زمانی که نظارت بر فعالیتها را شروع کردند، در 8 ژانویه نگهداری از سرورهای C2 خود را متوقف کرد. این همان روزی بود که قطعی سراسری اینترنت توسط مقامات در پاسخ به اعتراضات اخیر اعمال شد که نشان میدهد حتی واحدهای سایبری وابسته به دولت نیز توانایی یا انگیزه انجام فعالیتهای مخرب در داخل ایران را نداشتند.» این گروه یکی از قدیمیترین و کمتر شناخته شدهترین گروههایی که توانسته است از سال 2004 از طریق حملات laser-focused که افراد را برای جمعآوری اطلاعات هدف قرار میدهد، بیسروصدا فعالیت کند. نشانههایی وجود دارد مبنی بر اینکه Infy از نقص امنیتی جدید در WinRAR (CVE-2025-8088 یا CVE‑2025‑6218) برای استخراج پیلود داده Tornado در یک میزبان آسیبپذیر استفاده کرده است
بررسیهای این شرکت نشان داده است که نفوذگران گامی در جهت جایگزینی زیرساخت C2 برای همه نسخههای Foudre و Tonnerre برداشتهاند و در کنار آن Tornado نسخه ۵۱ را معرفی کردهاند که از HTTP و تلگرام برای C2 استفاده میکند. همچنین ارزیابی دادههای تلگرام حاکی از آن است که یک فایل زیپ مخرب که ZZ Stealer را اجرا میکند که نوع سفارشی از بدافزار سرقت اطلاعات StormKitty بارگذاری میشود. Tornado از طریق HTTP با سرور C2 ارتباط برقرار میکند تا دربپشتی اصلی را دانلود و اجرا کند و اطلاعات سیستم را جمعآوری کند. اگر تلگرام به عنوان روش C2 انتخاب شود، Tornado از API ربات برای استخراج دادههای سیستم و دریافت دستورات بیشتر استفاده میکند.
https://thehackernews.com/2026/02/infy-hackers-resume-operations-with-new.html
