Prince of Persia új eszközei
A SafeBreach az iráni állami háttérrel rendelkező kiberfenyegető csoport, a Prince of Persia (Infy) tevékenységére, amely aktív maradt, és folyamatosan fejleszti támadó eszközeit. A csoport, amelyet először 2016-ban azonosítottak, és amely az iráni kormányhoz köthető, már több mint két évtizede folytat kémkedési kampányokat Iránon belül és külföldön is, elsősorban kormányzati intézmények, kritikus infrastruktúrák és az iráni rezsim ellenállói ellen.
A SafeBreach kutatói kimutatták, hogy a csoport nem szűnt meg 2022 után, hanem éppen ellenkezőleg új, fejlettebb malware-változatokat (Foudre v34, Tonnerre v12-18, v50) vetett be, és innovatív C2 infrastruktúrát épített ki, közte a Telegram platformot is a kommunikációhoz és az adatok kinyeréséhez. A legújabb Tonnerre v50 változatot 2025 szeptemberében érzékelték aktív C2 szerverrel való kapcsolattartás közben, és a csoport folyamatosan változtatja a szervereit, hogy elkerülje a felfedezést. A kutatás során sikerült visszafejteni a C2 szerverek működését, és kiderült, hogy a csoport tesztelési és termelési környezeteket is használ, de a valódi áldozatok száma viszonylag alacsony marad.
A Prince of Persia fő célpontjai között szerepelnek iráni polgárok, külföldön élő iráni ellenzéki személyek, valamint kormányzati és kritikus infrastruktúrával rendelkező szervezetek Iránon kívül is, például Irakban, Törökországban, Indiában, Kanadában és Európa több országában. A csoport tevékenysége nem pénzügyi haszonra irányul, hanem kizárólag kémkedési és politikai befolyásolási célokat szolgál. A SafeBreach kiemeli, hogy a csoport mérete és aktivitása nagyobb, mint korábban feltételezték, és folyamatosan fejleszti a támadó eszközeit, hogy elkerülje a felfedezést és a védekező rendszereket
