文章总结： 伊朗老牌APT组织Infy沉睡5年后复活，弃用Excel宏攻击转而采用内嵌文件释放Foudre和Tonnerre两阶段木马。其技术亮点在于使用RSA签名验证C2域名以反Sinkhole，结合Telegram隐蔽通信及DGA算法增强生存能力。建议防御方加强出站流量监控、警惕文档内嵌对象，并重视HTTPS解密分析。 综合评分： 87 文章分类： 威胁情报,恶意软件,安全大事件,红队

沉睡5年，这个伊朗最古老的黑客组织“复活”了！技术细节全拆解

原创

Hankzheng

技术修道场

2025年12月25日 07:59 广东

大家好，做安全这行久了，总会有一种感觉：那些顶级的 APT 组织，从来不会真正消失，他们只是去“修炼”了。

最近，安全圈又爆出了一个大瓜。那个被称为“波斯王子”（Prince of Persia）、代号 Infy 的伊朗黑客组织，在销声匿迹了整整 5 年后，竟然又“回归”了！

这帮人可不是什么脚本小子，他们的历史甚至可以追溯到 2004 年（那时候很多现在的黑客还在穿开裆裤呢），是名副其实的 APT 界“活化石”。

本来以为早在 2016 年和 2020 年被 Palo Alto Networks 等大佬曝光后，他们已经凉透了。结果 SafeBreach 最新的研究发现，他们不仅没凉，还憋出了大招。

今天，我就带大家硬核拆解一下，这帮“波斯王子”这次回归，到底带来了哪些让人“惊喜”的新技术。

01 从 Excel 宏到“内嵌”：入口更隐蔽了

咱们先聊聊攻击入口。

以前 Infy 喜欢用带有恶意宏的 Excel 文档钓鱼，但这招现在已经被各大厂商杀烂了。这次他们学聪明了，虽然还是用钓鱼邮件发 Excel，但路数变了：

他们不再单纯依赖宏代码直接干坏事，而是在文档里内嵌了一个可执行文件。一旦用户中招，这个文件就会释放出他们的招牌下载器——Foudre（法语，意为“闪电”）。

目前的 Foudre 已经迭代到了 v34 版本。它的任务很简单：站稳脚跟，然后通过 HTTP 下载第二阶段的“大杀器”——Tonnerre（法语，意为“雷霆”）。

💡 划重点：

这种多阶段加载（Stager + Implant）是老套路，但 Infy 的强项在于它的“苟”——它的恶意软件非常擅长指纹识别，只有确认是高价值目标（比如伊朗、土耳其、欧洲的特定机构），才会下发真正的 Payload。如果是沙箱或者无关人员，它就装死。

02 核心亮点：用 RSA 给 C2 域名“验明正身”

这是我觉得整份报告里最骚、最显技术功底的地方。

做过威胁情报或者红蓝对抗的朋友都知道，防守方对付 APT 的一个常见手段就是 Sinkhole（接管/黑洞化）——如果你能注册或者接管黑客的 C2 域名，你就能监测受害者的连接，甚至给木马下发“自杀”指令。

Infy 显然吃过这方面的亏，所以他们在 Foudre 和 Tonnerre 里加入了一套C2 验证机制。

它的原理是这样的：

1. 公钥硬编码：

   恶意软件内部硬编码了一个 RSA 公钥。

2. 每日验证：

   每一天，恶意软件连接 C2 时，都会尝试下载一个特殊的 .sig 签名文件。请求格式长这样：

https://<domain&nbsp;name>/key/<domain&nbsp;name><yy><day&nbsp;of&nbsp;year>.sig

3. 解密比对： 下载后，恶意软件用内置的公钥解密这个签名文件，并与本地存储的验证文件进行比对。

这意味着什么？

这意味着，即使安全研究员或者是执法机构成功接管了 Infy 的域名，只要我们手里没有黑客的RSA 私钥（用来生成那个每日更新的签名文件），我们就无法伪造合法的响应！

恶意软件一旦发现签名对不上，就会立刻判定“此 C2 已被劫持”并停止活动。这大大增加了研究人员分析和接管僵尸网络的难度。这招“反客为主”，属实高明。

03 拥抱变化：Telegram 里的秘密频道

除了传统的 HTTP C2，Infy 这次也赶时髦，用上了 Telegram。

最新的 Tonnerre（版本 50，2025年9月才被发现！）包含了一个新机制：它会通过 C2 服务器联系一个名为 سرافراز（波斯语“自豪”）的 Telegram 组。

这不仅仅是简单的“把 Telegram 当 C2 用”，他们做得非常细：

• 专用 Bot：

  有个叫 @ttestro1bot 的机器人负责发号施令。

• 配置文件隔离：

  连接 Telegram 的配置信息并不直接写死在代码里，而是藏在 C2 服务器一个叫 tga.adr 的文件里。

• 白名单触发：

  只有特定的受害者 GUID（全球唯一标识符）才有资格下载这个文件。

这说明啥？说明他们对目标的筛选极其严格，普通人中了毒可能根本触发不了这个模块，只有“天选之子”才会被拉进那个神秘的 Telegram 群组。

04 基础设施：DGA 算法让封堵更难

为了让 C2 活得更久，Infy 还全面启用了 DGA（域名生成算法）。

传统的 C2 域名一旦被封就废了，但有了 DGA，恶意软件可以根据特定的算法，每天生成一大堆备选域名。只要黑客注册了其中一个，连接就能恢复。

SafeBreach 在分析他们的服务器时，甚至发现了专门用于存放 C2 验证密钥的 /key/ 目录，以及疑似用于自动升级恶意软件的 /download/ 目录。这不仅是一个攻击工具，这简直就是一个运营良好的企业级 IT 系统！

总结

看完这份分析，我最大的感受是：千万别小看“老家伙”。

Infy 就像那个潜伏在暗处的猎人，他们不需要像勒索软件那样大张旗鼓地搞破坏。他们要的是持久化（Persistence）和隐蔽性（Stealth）。

从 2004 年到现在，20 年过去了。当其他黑客组织还在用烂大街的工具时，Infy 已经开始用 RSA 做 C2 鉴权，用精准的指纹识别来规避沙箱。

对于我们防御方来说，有几个启示：

1. 关注出站流量： DGA 生成的域名虽然多，但往往有规律可循，DNS 流量分析依然是抓捕他们的利器。 2. HTTPS 也不安全： 越来越多的恶意软件利用加密流量（甚至利用大厂的证书）来掩盖行踪，全流量解密分析变得越来越重要。 3. 不要轻视 Office 文档： 即便没有宏，嵌入式对象依然是巨大的风险源。

技术对抗是一场没有终点的马拉松，Infy 回来了，下一个会是谁？

互动话题 你在日常工作中遇到过这种带有“反劫持”机制的恶意软件吗？ 欢迎在评论区聊聊你的看法！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng《沉睡5年，这个伊朗最古老的黑客组织“复活”了！技术细节全拆解》