SafeBreach Labs детально разобрали эволюцию группировки «Принц Персии» после недавних разоблачений. Пытаясь скрыть следы, хакеры полностью сменили инфраструктуру: от Telegram-аккаунтов до алгоритмов генерации доменов. Масштабная зачистка логов и использование фейковых IP не помогли — исследователи зафиксировали переход группы на новую, более гибкую модель управления и маскировки.
Главной новинкой стал софт Tornado v51, использующий блокчейн и Telegram для связи с серверами. Группа активно эксплуатирует уязвимости WinRAR для закрепления в автозагрузке и даже атакует самих ИБ-специалистов. Под видом ценных дампов в каналах распространялись ZIP-архивы с ZZ Stealer. Это прямой ответный удар по аналитикам, пытающимся деанонимизировать участников кампании.
Связь с госсектором Ирана выдал график работы. Исследователи зафиксировали полную остановку активности с 8 по 24 января — именно в этот период в Иране произошел общенациональный блэкаут интернета. Как только доступ к сети восстановили, группировка вернулась к подготовке серверов буквально на следующий день.
#APT #Iran #CyberSecurity
SecurityLab в Telegram | MAX | Поддержите нас «бустами»
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Блокчейн против рубильника. Иранские спецслужбы случайно выдали своих лучших хакеров, просто выключив интернет в стране
Цепочка совпадений оказалась слишком аккуратной, чтобы быть случайностью.
😁45👀5💯4