كشفت تقارير أمنية حديثة عن تطور في تكتيكات مجموعة التهديد الإيرانية المعروفة باسم “Infy”، والتي يُعتقد أنها تعمل لصالح الدولة، حيث تتجه المجموعة إلى إخفاء آثارها بشكل أكبر مع تجهيز بنية تحتية جديدة للتحكم والسيطرة (C2).
يأتي هذا التطور بالتزامن مع انتهاء فترة انقطاع واسع النطاق للإنترنت فرضتها السلطات الإيرانية، مما يشير إلى استغلال الظروف المحيطة بهذه الأحداث لتعزيز عملياتها السيبرانية.
تطورات جديدة في عمليات تجسس إلكتروني إيرانية
أفادت شركة “SafeBreach” للأمن السيبراني، التي تتبع نشاط المجموعة، بأن خوادم التحكم والسيطرة الخاصة بـ “Infy” توقفت عن العمل لأول مرة منذ بدء مراقبة أنشطتها في الثامن من يناير، وهو اليوم نفسه الذي فرضت فيه السلطات الإيرانية حظراً شاملاً على الإنترنت استجابة للاحتجاجات.
ومع ذلك، لوحظت عودة النشاط في السادس والعشرين من يناير، حيث قامت المجموعة بإنشاء خوادم C2 جديدة، وذلك قبل يوم واحد من تخفيف القيود على الإنترنت في البلاد. هذه المزامنة تقدم دليلاً قوياً على أن المجموعة مدعومة من قبل الدولة الإيرانية.
تكتيكات متقدمة وخبيثة
تُعد “Infy” واحدة من الجماعات السيبرانية التي يرجح ارتباطها بإيران، والتي تنخرط في عمليات تجسس وتخريب ونشر معلومات تتماشى مع المصالح الاستراتيجية لطهران. وتعتبر المجموعة من أقدم المجموعات وأقلها شهرة، حيث نجحت في العمل بهدوء منذ عام 2004 من خلال هجمات مركزة تستهدف الأفراد لجمع المعلومات.
في تقرير سابق صدر في ديسمبر 2025، كشفت “SafeBreach” عن أدوات تستخدمها المجموعة، بما في ذلك إصدارات محدثة من برامج “Foudre” و”Tonnerre”، حيث تقوم الأخيرة بالاستعانة بـ “Telegram bot” لإصدار الأوامر وجمع البيانات. وقد تم تسمية أحدث إصدار من “Tonnerre” (الإصدار 50) باسم “Tornado”.
استراتيجيات جديدة لتعقيد الكشف
كشف الاستمرار في مراقبة عمليات المجموعة بين 19 ديسمبر 2025 و 3 فبراير 2026 عن خطوة مهمة تمثلت في استبدال البنية التحتية لـ C2 لجميع إصدارات “Foudre” و”Tonnerre”. بالإضافة إلى ذلك، تم تقديم الإصدار 51 من “Tornado”، والذي يستخدم كلاً من HTTP و Telegram للتواصل.
تعتمد النسخة الجديدة على طريقتين لتوليد أسماء نطاقات C2: أولاً، خوارزمية DGA جديدة، وثانياً، أسماء ثابتة باستخدام بيانات بلوكتشين لفك التعتيم. يُفترض أن هذا النهج الفريد يهدف إلى توفير مرونة أكبر في تسجيل أسماء نطاقات C2 دون الحاجة لتحديث نسخة “Tornado”.
استغلال ثغرات أمنية جديدة
تشير الدلائل أيضاً إلى أن “Infy” قد استغلت ثغرة أمنية ليوم واحد في برنامج WinRAR (إما CVE-2025-8088 أو CVE-2025-6218) لاستخراج حمولة “Tornado” على الأجهزة المخترقة. يُنظر إلى هذا التغيير في ناقل الهجوم كوسيلة لزيادة معدل نجاح حملاتها.
تم تحميل الأرشيفات المعدة خصيصاً من نوع RAR على منصة VirusTotal في منتصف ديسمبر 2025، مما يشير إلى أن دولتين ربما كانتا مستهدفتين. يتضمن ملف RAR ملفين: AuthFWSnapin.dll، وهو الملف الرئيسي لـ Tornado version 51، و reg7989.dll، وهو مثبت يفحص أولاً ما إذا كان برنامج Avast للحماية غير مثبت، وفي حال كان كذلك، يقوم بإنشاء مهمة مجدولة للحفاظ على الاستمرارية وتنفيذ DLL الخاص بـ Tornado.
آليات التواصل والبيانات المسربة
يقوم “Tornado” بإنشاء اتصال مع خادم C2 عبر HTTP لتنزيل وتنفيذ البرامج الخبيثة الرئيسية وجمع معلومات النظام. في حال اختيار Telegram كوسيلة للتواصل، يستخدم “Tornado” واجهة برمجة تطبيقات البوت (bot API) لتسريب بيانات النظام واستقبال المزيد من الأوامر.
يجدر بالذكر أن الإصدار 50 من البرمجيات الخبيثة استخدمت مجموعة Telegram باسم “سرافراز” مع بوت “@ttestro1bot” ومستخدم يحمل الاسم “@ehsan8999100”. وفي الإصدار الأخير، تم إضافة مستخدم مختلف يحمل الاسم “@Ehsan66442” ليحل محل المستخدِم السابق.
كما كان الحال سابقاً، فإن عضو البوت في مجموعة Telegram لا يمتلك صلاحيات لقراءة رسائل الدردشة داخل المجموعة. وفي 21 ديسمبر، تمت إضافة المستخدم الأصلي @ehsan8999100 إلى قناة Telegram جديدة باسم “Test”، والتي تضم ثلاثة مشتركين. لا يزال هدف هذه القناة غير معروف، ولكن يُفترض أنها تُستخدم للتحكم في أجهزة الضحايا.
اكتشافات بارزة وتحليل معمق
تمكنت “SafeBreach” من استخلاص جميع الرسائل داخل مجموعة Telegram الخاصة، مما أتاح الوصول إلى جميع الملفات التي تم تسريبها من “Foudre” و”Tonnerre” منذ 16 فبراير 2025. وتشمل هذه الملفات 118 ملفاً و 14 رابطاً لمحتوى يحمل أوامر مشفرة تم إرسالها إلى “Tonnerre” من قبل الجهة المهاجمة.
أدى تحليل هذه البيانات إلى اكتشافين رئيسيين: أولاً، ملف ZIP خبيث يقوم بإنزال “ZZ Stealer”، والذي يقوم بدوره بتحميل نسخة مخصصة من برنامج سرقة المعلومات “StormKitty”. ثانياً، وجود “ارتباط قوي جداً” بين سلسلة هجمات “ZZ Stealer” وحملة استهدفت مستودع Python Package Index (PyPI) باسم حزمة “testfiwldsd21233s” المصممة لإنزال نسخة سابقة من “ZZ Stealer” وتسريب البيانات عبر واجهة برمجة تطبيقات Telegram.
بالإضافة إلى ذلك، هناك “ارتباط أضعف محتمل” بين “Infy” ومجموعة “Charming Kitten” (المعروفة أيضاً باسم Educated Manticore)، وذلك بسبب استخدام ملفات ZIP وملفات اختصار Windows (LNK)، وتقنية تحميل PowerShell.
يُعتقد أن “ZZ Stealer” هو برمجية خبيثة من المرحلة الأولى، تقوم بجمع بيانات البيئة، لقطات الشاشة، وتسريب جميع ملفات سطح المكتب. وعند تلقي أمر “8==3” من خادم C2، تقوم بتنزيل وتنفيذ البرمجية الخبيثة من المرحلة الثانية، والتي يطلق عليها المهاجمون أيضاً اسم “8==3”.