عودة مجموعة “برنس أوف بيرشيا” الإيرانية إلى الساحة ببرمجيات خبيثة جديدة

عودة مجموعة "برنس أوف بيرشيا" الإيرانية إلى الساحة ببرمجيات خبيثة جديدة
عودة مجموعة "برنس أوف بيرشيا" الإيرانية إلى الساحة ببرمجيات خبيثة جديدة
شارك هذا الخبر

رصد خبراء الأمن السيبراني نشاطاً جديداً لمجموعة التهديد الإيرانية المعروفة باسم Infy أو “برنس أوف بيرشيا”، وذلك بعد نحو خمس سنوات من الغياب عن المشهد. المجموعة التي تُعد من أقدم الفاعلين في مجال الهجمات السيبرانية المستمرة (APT) بدأت نشاطها منذ عام 2004، لكنها ظلت بعيدة عن الأضواء مقارنة بمجموعات إيرانية أخرى مثل Charming Kitten وMuddyWater وOilRig. بحسب شركة SafeBreach، فإن حجم نشاط المجموعة أكبر مما كان متوقعاً، وأنها لا تزال تمثل تهديداً خطيراً وفعّالاً.

أدوات الهجوم: Foudre وTonnerre

تعتمد المجموعة بشكل أساسي على برمجيتين خبيثتين هما Foudre، وهو أداة تنزيل وتوصيف للضحايا، وTonnerre، وهو زرع برمجي متقدم لاستخراج البيانات من الأجهزة عالية القيمة. غالباً ما يتم توزيع Foudre عبر رسائل تصيّد إلكتروني، بينما يعمل Tonnerre كمرحلة ثانية أكثر تعقيداً. التحقيقات الأخيرة كشفت عن نسخ محدثة من هذه البرمجيات، حيث ظهر إصدار Foudre رقم 34، بينما تراوحت إصدارات Tonnerre بين 12 و18 وصولاً إلى الإصدار 50 الذي رُصد في سبتمبر 2025. هذه النسخ استهدفت ضحايا في إيران والعراق وتركيا والهند وكندا وأوروبا.

تقنيات متطورة للبقاء والاختفاء

أبرز ما يميز أسلوب عمل المجموعة هو استخدامها لخوارزمية توليد النطاقات (DGA) لتعزيز مرونة بنيتها التحتية للتحكم والسيطرة (C2). كما أن البرمجيات الخبيثة تتحقق يومياً من صحة النطاقات عبر ملفات توقيع مشفرة بمفاتيح RSA، وهو ما يعكس مستوى عالياً من الاحترافية. التحليل أظهر وجود مجلدات خاصة على خوادم C2 مثل مجلد “key” للتحقق، ومجلدات أخرى لتخزين سجلات الاتصال والملفات المسروقة، إضافة إلى مجلد “download” الذي يُعتقد أنه مخصص لتحديث النسخ.

ارتباطات عبر تطبيق تليغرام

النسخة الأخيرة من Tonnerre تضمنت آلية للتواصل مع مجموعة على تطبيق تليغرام تحمل اسم “سرافراز”، تضم حساب بوت “@ttestro1bot” وحساب مستخدم “@ehsan8999100”. هذه الخطوة تكشف عن تطور في أساليب الاتصال، حيث يتم تخزين بيانات المجموعة في ملف “tga.adr” داخل خادم C2، ولا يمكن تنزيله إلا لضحايا محددين. كما رُصدت نسخ قديمة بين 2017 و2020 تضمنت برمجيات مثل MaxPinner للتجسس على محتوى تليغرام، ونسخة مموهة باسم Amaq News Finder، إضافة إلى برمجيات أخرى مثل Deep Freeze وRugissement.

خلفيات أوسع: مجموعات إيرانية أخرى

يأتي هذا الكشف في وقت تتواصل فيه تحليلات حول مجموعات إيرانية أخرى مثل Charming Kitten، التي وُصفت بأنها تعمل بدقة إدارية أقرب إلى المؤسسات الحكومية، وتدير عمليات تجسس ودعاية تحت مظلة واحدة. هذه الخلفيات تؤكد أن النشاط السيبراني الإيراني يتسم بالاستمرارية والتطور، وأنه يتجاوز مجرد هجمات فردية ليأخذ طابعاً مؤسسياً منظماً.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1096

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة