Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu săn lùng mối đe dọa vừa phát hiện hoạt động mới liên quan đến APT Infy, còn được biết đến với tên gọi Prince of Persia, một nhóm tin tặc có nguồn gốc từ Iran. Đáng chú ý, nhóm này gần như “biến mất” khỏi radar an ninh mạng suốt gần 5 năm, kể từ khi từng bị phát hiện nhắm vào các nạn nhân tại Thụy Điển, Hà Lan và Thổ Nhĩ Kỳ.
Theo Tomer Bar, Phó chủ tịch nghiên cứu bảo mật tại SafeBreach, quy mô và mức độ hoạt động của Prince of Persia lớn hơn nhiều so với những đánh giá ban đầu. Nhóm này không chỉ vẫn còn tồn tại mà còn duy trì ảnh hưởng đáng kể và được đánh giá là nguy hiểm.
APT Infy được xem là một trong những nhóm APT lâu đời nhất, với dấu vết hoạt động sớm nhất được ghi nhận từ tháng 12/2004, theo báo cáo của Đơn vị 42 – Palo Alto Networks công bố vào tháng 5/2016. Báo cáo này do chính Tomer Bar và nhà nghiên cứu Simon Conant đồng biên soạn.
Không giống nhiều nhóm tin tặc Iran khác như Charming Kitten, MuddyWater hay OilRig, APT Infy hoạt động khá kín tiếng. Nhóm chủ yếu sử dụng hai loại phần mềm độc hại chính: Foudre, một công cụ tải xuống và đánh giá nạn nhân, và Tonnerre, phần mềm cấy ghép giai đoạn hai dùng để trích xuất dữ liệu từ các hệ thống có giá trị cao. Các chuyên gia cho rằng Foudre chủ yếu được phát tán thông qua email lừa đảo.
Chuỗi tấn công cho thấy sự thay đổi đáng kể về kỹ thuật: thay vì dùng file Microsoft Excel chứa macro, tin tặc chuyển sang nhúng trực tiếp tệp thực thi vào tài liệu để cài đặt Foudre. Đáng chú ý nhất là việc nhóm sử dụng thuật toán tạo tên miền (DGA) nhằm tăng khả năng chống bị triệt phá của hạ tầng chỉ huy và điều khiển (C2).(thehackernews
Foudre và Tonnerre còn có cơ chế xác thực tên miền C2 bằng cách tải về tệp chữ ký RSA, giải mã bằng khóa công khai và so sánh với tệp xác thực lưu trữ cục bộ. SafeBreach phát hiện trên máy chủ C2 tồn tại thư mục “key” dùng cho xác thực, cùng các thư mục khác để lưu nhật ký liên lạc và dữ liệu bị đánh cắp.
Theo Tomer Bar, mỗi ngày Foudre sẽ tải xuống một tệp chữ ký được mã hóa bằng khóa riêng RSA của kẻ tấn công, sau đó xác minh bằng khóa công khai nhúng sẵn để đảm bảo tên miền C2 là hợp lệ. Ngoài ra, máy chủ C2 còn có thư mục “download”, được nghi ngờ dùng cho việc tải và nâng cấp phiên bản phần mềm độc hại.
Phiên bản Tonnerre mới cũng bổ sung cơ chế liên lạc với một nhóm Telegram có tên “سرافراز” (nghĩa là “tự hào” trong tiếng Ba Tư). Nhóm này gồm một bot Telegram @ttestro1bot dùng để gửi lệnh và thu thập dữ liệu, cùng một tài khoản người dùng @ehsan8999100. Thông tin về nhóm Telegram được lưu trong tệp “tga.adr” trên máy chủ C2 và chỉ được tải xuống đối với một danh sách GUID nạn nhân cụ thể.
SafeBreach cũng ghi nhận nhiều biến thể cũ từng được sử dụng trong các chiến dịch Foudre giai đoạn 2017–2020, bao gồm Foudre giả dạng Amaq News Finder, Trojan MaxPinner để theo dõi nội dung Telegram, biến thể Deep Freeze, một mẫu phần mềm độc hại chưa xác định tên Rugissement, cùng nhiều công cụ liên quan khác.
Mặc dù APT Infy từng bị cho là đã “biến mất” vào năm 2022, SafeBreach khẳng định điều ngược lại: nhóm này vẫn âm thầm hoạt động, cải tiến công cụ và duy trì hạ tầng tấn công trong nhiều năm qua.
Những phát hiện này xuất hiện trong bối cảnh DomainTools tiếp tục phân tích các vụ rò rỉ liên quan đến Charming Kitten, cho thấy các nhóm tin tặc Iran hoạt động có tổ chức, mang dáng dấp của một cơ quan chính phủ, với sự chồng chéo về công cụ, mục tiêu và cả hệ thống vận hành nội bộ. Theo DomainTools, các hoạt động tuyên truyền, gián điệp và tấn công mạng thực chất chỉ là những “dự án” khác nhau trong cùng một quy trình quản lý thống nhất. (thehackernews)
Theo Tomer Bar, Phó chủ tịch nghiên cứu bảo mật tại SafeBreach, quy mô và mức độ hoạt động của Prince of Persia lớn hơn nhiều so với những đánh giá ban đầu. Nhóm này không chỉ vẫn còn tồn tại mà còn duy trì ảnh hưởng đáng kể và được đánh giá là nguy hiểm.
APT Infy được xem là một trong những nhóm APT lâu đời nhất, với dấu vết hoạt động sớm nhất được ghi nhận từ tháng 12/2004, theo báo cáo của Đơn vị 42 – Palo Alto Networks công bố vào tháng 5/2016. Báo cáo này do chính Tomer Bar và nhà nghiên cứu Simon Conant đồng biên soạn.
Không giống nhiều nhóm tin tặc Iran khác như Charming Kitten, MuddyWater hay OilRig, APT Infy hoạt động khá kín tiếng. Nhóm chủ yếu sử dụng hai loại phần mềm độc hại chính: Foudre, một công cụ tải xuống và đánh giá nạn nhân, và Tonnerre, phần mềm cấy ghép giai đoạn hai dùng để trích xuất dữ liệu từ các hệ thống có giá trị cao. Các chuyên gia cho rằng Foudre chủ yếu được phát tán thông qua email lừa đảo.
Phần mềm độc hại mới, hạ tầng C2 và Telegram bị lạm dụng
Phân tích mới nhất từ SafeBreach cho thấy một chiến dịch ngầm nhắm vào các nạn nhân tại Iran, Iraq, Thổ Nhĩ Kỳ, Ấn Độ, Canada và nhiều quốc gia châu Âu. Chiến dịch này sử dụng các phiên bản cập nhật của Foudre (phiên bản 34) và Tonnerre (phiên bản 12–18, 50), trong đó phiên bản Tonnerre mới nhất được phát hiện vào tháng 9/2025.Chuỗi tấn công cho thấy sự thay đổi đáng kể về kỹ thuật: thay vì dùng file Microsoft Excel chứa macro, tin tặc chuyển sang nhúng trực tiếp tệp thực thi vào tài liệu để cài đặt Foudre. Đáng chú ý nhất là việc nhóm sử dụng thuật toán tạo tên miền (DGA) nhằm tăng khả năng chống bị triệt phá của hạ tầng chỉ huy và điều khiển (C2).(thehackernews
Foudre và Tonnerre còn có cơ chế xác thực tên miền C2 bằng cách tải về tệp chữ ký RSA, giải mã bằng khóa công khai và so sánh với tệp xác thực lưu trữ cục bộ. SafeBreach phát hiện trên máy chủ C2 tồn tại thư mục “key” dùng cho xác thực, cùng các thư mục khác để lưu nhật ký liên lạc và dữ liệu bị đánh cắp.
Theo Tomer Bar, mỗi ngày Foudre sẽ tải xuống một tệp chữ ký được mã hóa bằng khóa riêng RSA của kẻ tấn công, sau đó xác minh bằng khóa công khai nhúng sẵn để đảm bảo tên miền C2 là hợp lệ. Ngoài ra, máy chủ C2 còn có thư mục “download”, được nghi ngờ dùng cho việc tải và nâng cấp phiên bản phần mềm độc hại.
Phiên bản Tonnerre mới cũng bổ sung cơ chế liên lạc với một nhóm Telegram có tên “سرافراز” (nghĩa là “tự hào” trong tiếng Ba Tư). Nhóm này gồm một bot Telegram @ttestro1bot dùng để gửi lệnh và thu thập dữ liệu, cùng một tài khoản người dùng @ehsan8999100. Thông tin về nhóm Telegram được lưu trong tệp “tga.adr” trên máy chủ C2 và chỉ được tải xuống đối với một danh sách GUID nạn nhân cụ thể.
SafeBreach cũng ghi nhận nhiều biến thể cũ từng được sử dụng trong các chiến dịch Foudre giai đoạn 2017–2020, bao gồm Foudre giả dạng Amaq News Finder, Trojan MaxPinner để theo dõi nội dung Telegram, biến thể Deep Freeze, một mẫu phần mềm độc hại chưa xác định tên Rugissement, cùng nhiều công cụ liên quan khác.
Mặc dù APT Infy từng bị cho là đã “biến mất” vào năm 2022, SafeBreach khẳng định điều ngược lại: nhóm này vẫn âm thầm hoạt động, cải tiến công cụ và duy trì hạ tầng tấn công trong nhiều năm qua.
Những phát hiện này xuất hiện trong bối cảnh DomainTools tiếp tục phân tích các vụ rò rỉ liên quan đến Charming Kitten, cho thấy các nhóm tin tặc Iran hoạt động có tổ chức, mang dáng dấp của một cơ quan chính phủ, với sự chồng chéo về công cụ, mục tiêu và cả hệ thống vận hành nội bộ. Theo DomainTools, các hoạt động tuyên truyền, gián điệp và tấn công mạng thực chất chỉ là những “dự án” khác nhau trong cùng một quy trình quản lý thống nhất. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
