СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 февраля
#ИБ

Prince of Persia: Tornado, новые C2 и связь с Ираном

Расследование деятельности спонсируемой государством террористической группировки, известной как «Prince of Persia», фиксирует значительную реорганизацию её инструментов и тактик — особенно на фоне отключения Интернета в Иране с 8 января 2026 года. С момента предыдущего отчёта акторы усилили активность, развернув новую инфраструктуру C2 и модифицировав методы заражения и связи с командными серверами.

Новая инфраструктура C2 и регистрация доменов

21 декабря 2025 года были сконфигурированы как минимум два новых сервера C2, идентифицированные по IP-адресам:

  • 45.80.148.249
  • 45.80.148.195

Параллельно регистрировались новые домены, что, по оценке исследователей, направлено на повышение гибкости операций и устойчивости инфраструктуры к блокировкам и спискам отказа.

Механизмы заражения: архивные эксплойты и модифицированное вредоносное ПО

Группа использует архивные эксплойты для первичного проникновения. В ряде атак задействована разновидность вредоносного ПО Tornado, которое, в частности, размещает файл AudioService.exe в папке автозагрузки на заражённых системах. В этих операциях отмечается потенциальное использование уязвимостей Microsoft: CVE-2025-8088 или CVE-2025-6218.

Сдвиг в тактиках указывает на адаптацию к изменениям в политике безопасности макросов Microsoft Office и расширение методов доставки вредоносного ПО.

Двойной механизм разрешения C2: Python-скрипты и blockchain

Tornado реализует два способа разрешения адресов серверов C2:

  • ручной метод через сгенерированный Python-скрипт;
  • активный метод, использующий данные блокчейна (blockchain) для получения актуальных доменов/адресов.

Этот двойной подход повышает живучесть инфраструктуры: регистрация новых доменов не требует частых обновлений самого вредоносного ПО, а связь с C2 инициализируется после создания домена.

Использование Telegram и смена идентичностей

Для извлечения системной информации и передачи данных Tornado может использовать Telegram, в частности Telegram bot API. Исследователи также зафиксировали, что актор изменил операционные учётные записи в Telegram, заменив ранее используемого пользователя для поддержания скрытого присутствия внутри командной инфраструктуры.

Атаки на исследователей и эскалация тактик

Отдельно отмечается инцидент, когда операторы попытались заразить аналитические системы исследователей, отправив вредоносный файл, замаскированный под файл жертвы. Эта попытка подчёркивает готовность противника к контрмероприятиям против тех, кто отслеживает их деятельность.

Попытка заразить аналитические системы — тревожный знак готовности акторов к активным ответным действиям против исследователей и мониторящих организаций.

Наследие инструментов: связь ZZ Stealer и StormKitty

Сопоставление образцов указывает на связь более ранних версий вредоносного ПО (ZZ Stealer), использовавшегося группой, с известным инструментом StormKitty. Это свидетельствует о преемственности и развитии операционного фреймворка группы.

Атрибуция и значение возобновления активности

Исследование подчёркивает адаптивность и укоренение «Prince of Persia», указывая на чёткую связь между их кибер-активностью и иранским режимом. Особое значение приобретает факт возобновления активности группы после отключения электроэнергии и блокировок связи — это демонстрирует способность к восстановлению и продолжению операций в условиях деградации коммуникаций.

Последствия и рекомендации

Постоянное наблюдение за активностью группы позволяет проводить прогнозный анализ и вырабатывать меры защиты. Ключевые рекомендации для организаций и аналитических команд:

  • усилить мониторинг сетевых соединений к известным IP (включая 45.80.148.249 и 45.80.148.195) и подозрительным доменам;
  • применить контроль целостности автозагрузки и отслеживать появление файлов типа AudioService.exe в автозагрузке;
  • обновить и патчить системы в соответствии с рекомендациями по CVE-2025-8088 и CVE-2025-6218;
  • ограничить и мониторить использование Telegram API внутри корпоративных сетей, настроить предупреждения на необычную активность ботов;
  • предусмотреть защиту аналитических сред от целевых попыток компрометации (sandboxing, изоляция, проверка вложений от внешних источников).

Вывод

Эволюция тактик и инфраструктуры «Prince of Persia» демонстрирует, что спонсируемые государством акторы остаются гибкими и способны быстро адаптироваться к среде обороны. Их комбинированное использование архивных эксплойтов, модульного вредоносного ПО (Tornado), blockchain-механизмов и мессенджеров делает их операции устойчивыми и труднообнаружимыми. Наблюдение и оперативный обмен информацией между исследовательскими сообществами и операторами безопасности остаются критически важными для противодействия этой угрозе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: