SOC Prime Bias: Kritisch

16 Jan 2026 13:13 UTC

Prinz von Persien APT-Analyse: Infy, Foudre und Tonnerre-Malware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Prinz von Persien APT-Analyse: Infy, Foudre und Tonnerre-Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Prince of Persia (auch als APT-C-07 bekannt) ist ein seit 2007 aktiver, mit dem Iran in Verbindung stehender Cyber-Spionage-Akteur. Die Gruppe hat verschiedene proprietäre Malware-Familien – Infy, Foudre, Tonnerre und MaxPinner – durchlaufen, um Medienorganisationen, politische Einrichtungen und zivilgesellschaftliche Ziele auszuspionieren. Operationen kombinieren häufig Spear-Phishing mit opportunistischen Drive-by-Infektionspfaden und basieren auf maßgeschneiderten Kommando- und Kontrollmethoden, einschließlich Telegramm-Bot-basierter Kanäle, um den Zugang aufrechtzuerhalten und Daten von kompromittierten Systemen abzuleiten.

Untersuchung

Unit 42 und andere Forschungsteams haben den Werkzeugfortschritt des Akteurs von der Infy-Infrastruktur, die 2016 beobachtet wurde, bis zur Rückkehr der Foudre-Aktivität im Jahr 2017 und einer 2025er Iteration von Tonnerre, die Telegram für Kommando und Kontrolle nutzt, nachverfolgt. Technische Berichte heben die Lieferung über Visual-Basic-Makro-Dropper, die Persistenz durch Installation von Windows-Diensten und die Verwendung von Domänengenerierungslogik zur Unterstützung einer widerstandsfähigen Infrastruktur hervor. Analysten dokumentierten auch die native Funktionen auf Windows-API-Ebene, die für den Zugang zu Anmeldedaten und Überwachungsverhalten wie Keylogging genutzt werden, sowie Ausführungsmuster, die auf eine fortlaufende Verfeinerung der nach dem Kompromiss angewendeten Handwerkskunst hindeuten.

Minderung

Wenden Sie strenge Kontrollen für Office-Makros an und erzwingen Sie die Bereinigung von E-Mail-Anhängen, um erste Ausführungsmöglichkeiten zu reduzieren. Implementieren Sie Netzwerkkontrollen, um den Telegram-Verkehr in Umgebungen einzuschränken oder genau zu überwachen, in denen er für Geschäftszwecke nicht erforderlich ist. Auf Endpunkten sollte bei der Erstellung verdächtiger Dienste gewarnt werden, die Nutzung von rundll32 sollte im Einklang mit DLL-Ausführungsketten verfolgt werden, und bekannte bösartige Dateinamen und registerbasierte Persistenzmuster sollten blockiert werden. Halten Sie aktualisierte Erkennungsinhalte für dynamisch wechselnde Domänenmuster, die ein DGA-ähnliches Verhalten aufweisen, aufrecht und validieren Sie die Kontrollen regelmäßig anhand aktueller Telemetrie.

Antwort

Wenn Indikatoren entdeckt werden, isolieren Sie das betroffene System, erfassen Sie flüchtige Artefakte und suchen Sie nach den spezifischen Dienstnamen und Registrierungseinträgen, die für die Persistenz genutzt werden. Erweitern Sie die Triage auf die Erstellung geplanter Aufgaben, anomale DLL-Ladevorgänge und jegliche Hinweise auf Telegram-basierte C2-Kommunikation. Entfernen Sie bösartige Dienste und eingeführte Dateien mit überprüften Reparatur-Playbooks, dann rotieren Sie möglicherweise gefährdete Anmeldeinformationen und überwachen Sie genau auf erneute Einbruchsversuche oder Reinfektionen auf benachbarten Hosts.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Die Telemetrie- & Basisprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der vom Gegner eingesetzten Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs abbilden und darauf abzielen, die exakte Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffsablauf & Befehle:
    Der simulierte Angreifer imitiert das Verhalten von Infy-Malware, indem er drei Dummy-Ausführungsdateien erstellt, deren Dateinamen den von der Regel überwachten API-Aufrufen entsprechen. Mit Copy-Item, duplizieren wir notepad.exe (eine harmlose, bereits vorhandene Binärdatei) in das temporäre Verzeichnis und benennen es um, um mit jedem API-Aufruf übereinzustimmen. Der Angreifer führt dann jede Dummy-Binärdatei aus und erzeugt Sysmon-Prozess-Erstellungsereignisse mit Bild Werten, die in GetFileAttributesA.exe, GetMessageA.exeund DispatchMessageA.exeenden. Da die Bedingung der Regel Auswahl1 oder Auswahl2 auf dem Bild Feld ist, erfüllt jeder Start die Regel und erzeugt einen Alarm.

  • Regressionstest-Skript:

    # -------------------------------------------------
    # Simulation-Skript – Infy-API-Aufrufdetektionstest
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
    
    # Helfer: notepad.exe in einen neuen Namen kopieren
    function Copy-And-Run {
        param (
            [string]$newName
        )
        $src = "$env:SystemRootSystem32notepad.exe"
        $dst = Join-Path $tempDir $newName
        Copy-Item -Path $src -Destination $dst -Force
        Write-Host "Erstellt $dst"
        Start-Process -FilePath $dst -WindowStyle Hidden
    }
    
    # Erstellen und ausführen von Dummy-Binärdateien, die den API-Namen entsprechen
    Copy-And-Run -newName "GetFileAttributesA.exe"
    Copy-And-Run -newName "GetMessageA.exe"
    Copy-And-Run -newName "DispatchMessageA.exe"
    
    Write-Host "Simulation abgeschlossen. SIEM auf Alarme prüfen."
  • Bereinigungsbefehle:

    # -------------------------------------------------
    # Bereinigungsskript – Entfernen von simulierten Binärdateien
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    
    # Stoppen aller verbleibenden Dummy-Prozesse
    Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Entfernen des temporären Verzeichnisses und seiner Inhalte
    Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Bereinigung abgeschlossen."