Кибергруппа Prince of Persia остаётся активной, используя Telegram и новые версии вредоносного ПО

Исследование, охватывающее период с 2022 по 2025 год, выявило множественные кампании, использующие новые версии вредоносных программ Foudre и Tonnerre, а также ранее неизвестные семейства. Ключевым открытием стало обнаружение новой версии бэкдора Tonnerre v50, который, по указанию командного сервера, подключается к приватной группе в Telegram. В этой группе находится бот, предположительно использующий API Telegram для отправки команд и получения похищенных данных, что может означать переход от использования протокола FTP в более ранних версиях.

В группе Telegram с названием «سرافراز» («sarafraz», что переводится как «с гордостью») был идентифицирован пользователь с персидским именем @ehsan8999100, который, вероятно, является одним из хакеров, стоящих за группой. Активность этого пользователя фиксировалась в декабре 2025 года. Кроме того, анализ IP-адресов тестовых машин злоумышленников, использовавшихся на протяжении нескольких лет, неизменно указывает на географическое расположение в Иране.

Исследователи также обнаружили как минимум три активные параллельные ветки разработки вредоносного ПО Foudre и Tonnerre, использующие разные алгоритмы генерации доменных имен (DGA). Помимо Tonnerre v50 с неизвестным DGA, активны варианты Tonnerre v12-16 с оригинальным алгоритмом на основе CRC32 и Tonnerre v17, использующий двухэтапную генерацию. Также был найден Foudre v34, использующий новый DGA-алгоритм с префиксом LOS1.

Специалисты SafeBreach Labs смогли получить доступ к множеству командных серверов группы, включая как старые, действовавшие с 2021 года, так и новые, развернутые в 2025-м. Большинство серверов, обнаруженных за последние два года, по-видимому, использовались для тестирования, что указывает на активную фазу разработки инструментов. В ходе исследования были впервые идентифицированы и ранние образцы вредоносного ПО группы, датируемые 2017-2020 годами, включая варианты Amaq News Finder, Deep Freeze и ранее неизвестное семейство Rugissement.

Несмотря на попытки группы скрыть свою деятельность, такие как частая смена серверов и процедуры удаления следов с машин нецелевых жертв, исследователям удалось сохранить беспрецедентный уровень наблюдения за её активностью. Анализ показывает, что группа Prince of Persia остаётся опасной и актуальной угрозой, в первую очередь для иранских диссидентов и организаций критической инфраструктуры по всему миру. Публикация индикаторов компрометации и технических деталей призвана помочь мировому сообществу кибербезопасности в обнаружении и противодействии этой развивающейся угрозе.

IPv4

• 178.33.49.126

Domains

• ttdl3.dynu.net

URLs

• https://api.telegram.org/bot7900216285:AAEVjLjt4csUKGanerJuuiDhdsmlUv0yooM/getChatMember?user_id=874675833&chat_id=874675833

MD5

• 57447c4c35a807b252b9ba3c17de230f

SHA256

• 04844b5e15750467224c29b6fe5806e4093cd1d0ee4904dccf96831947574c85
• 09a2f03b5d54b48ba5f0df9ea57a6c20ba6fa90ad0f334132ea1da9320fbfbfd
• 0bfc11c6ba57fdaa8b865555d80d8f7d7b1d0f41a23a277885198b3113c945d9
• 12847dc6dfd86603e8f0085ae561b4b2e3089e5414e49628f7c411483c7b5ce8
• 15dd41ec1bdaabb741e8cc6481e0a98831798ac4e93c2513cdbd00c51241ffb7
• 23761caf7f4c6d7b3b4608c59729eb807c961deaa23aac94db5289b9b9739864
• 2c46406fb9111e0e4d982de54f335ae2900cdc39490d58f765cd5014153b3e12
• 30c20ada243b7e476e006dec94876bdeece4f8aca12a4cb6cf962c80f1a6ee3c
• 34692cabe9e9ba584ec2b8947a7aad4f787d10a3da56886e52d05d0675fe7b01
• 43ccc2620229d88d5a6ca2b064da0554ec3c3cc29a097e7a2d97283257cfae69
• 52abb57bf6f9db815b3ddf6241e21d4096f36eb998bb51e728bbe68c0f8e8e15
• 52e3a856548825ec0a3d6630e881ff4f79d2a11bc3420a73d42e161fabed53d9
• 55d60bcf83c81fff25ca413dc2f720a671f522d79cc13b6d618f7f25094acd62
• 5ad83f9fad87273593f9df73761de211a704e6e10984fde113a6435cc83c1e58
• 6f976a685ae838a7062fb4f152c6c77c42168b78b9aadd4278ec1c19f9bc1055
• a107635083212c662dbb3b69951e0de7b3d3894d8bcd7cfff545d119f81aeb1f
• a8565b678857129158904760ffe468e3ea6e4cf8a63a6c16b97e5717b1e8a384
• b1a16dd0500c570fb44cd13b68737fcd18710072559f810f3b3691ca93787cff
• b9741ad9ac084fb43804618acabe637f6b097bf72264b3335514678b2d0da785
• c8583fddf668808e31f993ff6bcfc6f8ba8b4c2c0c4ea51d4ccc6f5d311b6c90
• cb6ed0dd5dbc2e34ae36dd22b9522f7eec94bbfda2dcda7425736656279f8cdf
• cf64bf78ce570f8085110defc8ec32ff4f01c7359723510b9d1923fd93d12240
• d3d8b79f86f152338aabeadfaf35ba2e43f82aa4bfa29ff70b59702b455fa6a6
• d9dfc8a8e3e259a517a91e2e91e3a1d6ef1d5b0886e6729bf897d6ef1b2de722
• de94830b9b4df6867b7d2888acca9f3d0c103933b01721c04e6bd6492bde9e58
• f54cfe296186644d0fed271c469af1ef9b6156affe9e030e7b83b8de097eb1e7
• fa95a09e538b8c186a3239e3ff80ec9054b50aab80c624e75563ace4e60e31da
• fbb2ac0d07b84068aa35376cc994039f9fc1d2341643bc2bf268d65ab11ecbe3