In den letzten Wochen haben wir einen hartnäckigen und relativ diskreten Schauspieler im iranischen Cyberspace gesehen, bekannt als Indy (auch als Prince of Persia genannt), seine Art des Betriebs ändern, um seine Spuren besser zu decken, während er seine Befehls- und Kontrollinfrastruktur rekonstituiert. Das Auffallen ist nicht nur die technische Anpassung, sondern die Synchronisation mit der massiven Internet Blackout, die die iranische Regierung Anfang des Monats auferlegte, eine temporäre Koordinate, die hilft, die Reichweite des Staates hinter diesen Operationen zu verstehen. Um es in den Kontext zu setzen, berichteten internationale Medien über diese weit verbreitete Vernetzung im Land, die sowohl die Bürger als auch die Tätigkeit der lokalen Akteure im Netzwerk beeinflusste ( BBC)
Forscher der Firma SafeBreach dokumentierten, dass Indy zum ersten Mal seine C2-Server am 8. Januar aufhielt, ein Datum, das mit dem Beginn des Blackouts zusammenfällt. Diese Stille war nicht unbestimmt: die Gruppe wieder Aktivität Ende Januar, die Bereitstellung neuer Domains und Server eines Tages, bevor die Internet-Einschränkungen im Iran entlastet wurden. Dieses Zeitmuster liefert Beweismittel, die die staatliche Unterstützung oder Koordinierungshypothese hinter dieser Gruppe unterstützen, etwas Sicherheitsanalytiker seit Jahren verfolgen ( SafeBreach Bericht)
Indy ist keine neue Bedrohung: Sie ist seit Anfang der 2000er Jahre in Betrieb und hat sich auf Spionage- und Exfiltrationskampagnen spezialisiert, die auf bestimmte Menschen anstatt Massenoperationen abzielen. Seine technische Entwicklung in den letzten Monaten verdient Aufmerksamkeit: Die Tools namens Foudre und Tonnerre haben ständige Updates erhalten, und die neueste - eine Variante namens Tornado - beinhaltet hybride Kommunikationsmechanismen, die HTTP mit der Telegram API kombinieren, um Bestellungen und Exfilter-Daten zu erhalten.
Eine der anspruchsvollsten Nachrichten ist, wie sie Domainnamen für ihre Befehls- und Steuerserver generieren und beheben. Tornado verwendet zwei Methoden: einen DGA (Domain Generation Algorithm) Algorithmus, um dynamische Namen zu erzeugen und zusätzlich einen Mechanismus, der "fixierte" Namen von in einer Blockkette gespeicherten Daten erholt, eine Technik, die die C2-Infrastruktur ändern kann, ohne den Malware-Code zu ändern. Diese Art von Flexibilität erschwert die Arbeit der Verteidigungen, weil sie die Abhängigkeit von traditionellen Domain-Aufzeichnungen reduziert und die Widerstandsfähigkeit des Angreifers Netzwerk erhöht ( Sicherheit und Sicherheit)
Parallel nutzten die Betreiber eine Tagesanfälligkeit in WinRAR, um eine speziell konzipierte RAR-Datei zu verbreiten, die einmal auf der Opfermaschine ausgeführt wird, eine SFX-Datei mit dem Tornado Hintertürkern (unter anderen Komponenten) aufdeckt. Dieser Installer überprüft die Anwesenheit von bestimmten Antivirenprogrammen und, wenn Sie kein bestimmtes erkennen, schafft eine geplante Aufgabe, Persistenz zu erreichen und startet die DLL, die als Hintertür fungiert. Die Verwendung dieses Liefervektors zeigt eine klare Absicht, die Verpflichtungsraten durch eine in Desktop-Umgebungen weit verbreitete Betriebssystemsoftware zu erhöhen.
Ein neugieriges Puzzleteil ist die Abhängigkeit von Telegram als Kontrollkanal. In früheren Versionen haben Tonnerre und Tornado auf einen Bot und eine private Gruppe angewiesen, um Anweisungen zu senden und zu erhalten, ohne dass der Bot die Gespräche der Gruppe lesen muss, was eine bewusste Nutzung der Einschränkungen der Plattform zum Verstecken der Telemetrie nahelegt. Forscher schafften es, Nachrichten aus dieser privaten Gemeinschaft zu extrahieren und mit ihnen erholten sie exfiltrierte Dateien und Befehle, die für die Rekonstruktion von Angriffsketten und die Zuteilung bestimmter Lasten an den Schauspieler erlaubt. Um besser zu verstehen, wie die Angreifer Telegram Bots für kriminelle Zwecke verwenden, können Sie die Analyse von Forcepoint auf den Missbrauch dieser Plattform sehen ( Macht) sowie analytische Arbeiten darüber, wie Antwortteams Inhalte aus diesen Kanälen erholen konnten ( Checkmarx)
Unter den erkannten Artefakten ist ZZ Stealer, ein Infostealer, der als erste Stufe fungiert: es sammelt Daten aus der Umgebung, macht Screenshots und Exfilter Desktop-Dateien, und in einer bestimmten Reihenfolge lädt und führt eine zweite leistungsfähigere Phase. Ein Teil des beobachteten ausgefilterten Materials und der Infrastruktur hat eine technische Beziehung zu bekannten Malware-Varianten wie StormKitty, deren Code und Varianten in Analyse-Repositorien und Open Source-Projekten öffentlich überprüft werden können ( StormKitty in GitHub), und eine Beziehung wurde mit Paket Repository-Kampagnen (PyPI) beobachtet, die schädliche Paketnamen verwendet, um einen ZZ Stealer Installer, eine Form von Supply Chain Angriff auf Entwickler und automatisierte Systeme zu verbreiten.
Bei der Zuschreibung gibt es technische Zeichen, die auf Verbindungen zwischen Info und anderen iranischen Operationen hinweisen, obwohl einige Korrelationen schwächer sind als andere. Zum Beispiel, die Verwendung von ZIP-Dateien und Zugriffe durch direkte Windows-Zugriffe (LNK) und bestimmte PowerShell-Routinen erinnern Taktiken, die in Schauspielern wie Charming Kitten beobachtet werden, aber die Konvergenz der Werkzeuge nicht der einzigartigen Identität: im Cyberspace werden die Techniken repliziert und angepasst.
Welche Lehren sollten Verteidigungsteams zeichnen? Erstens, die Notwendigkeit, nicht-konventionelle C2-Kanäle als Messaging-Dienste von öffentlichen APIs angeboten zu überwachen. Traditionelle Verteidigungen, die nur auf IP-Blöcke oder Domain-Filterung konzentriert sind, sind unzureichend, wenn die Gegner DGA, Blockchain-Daten und Messaging-Plattformen verbindet. Zweitens bleibt der Schutz vor komprimierten Dateivektoren kritisch: Die Aufrechterhaltung der Dekompressionssoftware aktuell und die Umsetzung von Richtlinien, die die automatische Ausführung von SFX und anderen in heruntergeladenen Dateien enthaltenen Ausführbaren verhindern, reduziert das Risiko. Schließlich, Erkennung abnormaler Verhaltensweisen - Erstellen von programmierten Aufgaben, ungewöhnliche DLL-Last, HTTP-Verkehr auf neu registrierte Domains, oder Kommunikation zu Telegram API von Prozessen, die nicht - bietet wertvolle frühe Signale, um diese Angriffe zu blockieren.
Technische Berichte und Datensätze, die von Unternehmen wie SafeBreach und ergänzenden Analysen in der Gemeinschaft geteilt werden, sind wesentliche Ressourcen, um die Physiologie dieser Kampagnen zu verstehen und Regeln und Erkennungen zu aktualisieren. Für diejenigen, die in die oben genannte Forschung gehen wollen, lesen Sie SafeBreachs Bericht über Info ( Sicherheit und Sicherheit), die Analyse der Datenextraktion aus privaten Kanälen und PyPI-Kampagnen ( Checkmarx), und Dokumentation über den Missbrauch von Bots in Telegram durch Forcepoint ( Macht), zusätzlich zu dem öffentlichen Material zu den Familien der verwandten infostealers ( StormKit)
Kurz gesagt, die Entwicklung von Indy ist eine Erinnerung daran, dass staatlich unterstützte Gruppen technische Raffinesse, Kenntnisse öffentlicher Plattformen und politische Synchronisation kombinieren, um Auswirkungen und Ausdauer zu maximieren. Die Verteidigung erfordert nicht nur Technologie, sondern aktuelle Intelligenz, Zusammenarbeit zwischen Reaktionsteams und organisatorischen Politiken, die die Angriffsfläche gegen diese zunehmend kleinen und adaptiven Taktiken reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...