脅威の再来:イランのAPTグループ「Prince of Persia」が活動再開
かつて活動を休止したと見られていたイラン国家支援の高度持続的脅威(APT)グループ「Prince of Persia」(別名Infy)が、3年間の沈黙を破り、洗練された新たなマルウェアキャンペーンを展開し、世界の重要インフラ組織を標的にしていることが明らかになりました。SafeBreach Labsの新たな調査報告によると、同グループは運用セキュリティとツールを大幅に見直し、2025年9月には新たなマルウェア「Tonnerre v50」と「Foudre v34」を並行して展開しているとのことです。
2000年代初頭から活動していた同グループは、2022年に公にその存在が暴露された後、姿を消したように見えましたが、この期間をツールの再構築に費やしていたことが新たな証拠によって裏付けられました。
戦術の変化:Telegramを用いたC2通信
同グループの戦術における最も顕著な変化は、従来のファイル転送プロトコル(FTP)によるコマンド&コントロール(C2)通信を放棄し、Telegramに移行した点です。この合法的な暗号化メッセージングプラットフォームを利用することで、検出を回避しようとしています。
- 新しいマルウェア「Tonnerre v50」は、感染したマシンを「سرافراز」(Sarafraz、誇り高き、と翻訳される)というTelegramグループにリダイレクトします。
- 脅威アクターは、Telegramボットを介してコマンドを発行し、Telegram API経由で被害者データを外部に送信しています。
- 研究者らは、ボットと連携して管理者として活動する特定のユーザーハンドル「@ehsan8999100」を特定しました。このユーザーは、2025年12月14日まで活動していたことが確認されています。
- ペルシャ語の名前や、テヘランやマシュハドなどのイラン国内の都市を指すIPジオロケーションデータが、イラン国家の関与をさらに裏付けています。
新たな感染経路とDGAの進化
Telegramへの移行と並行して、グループは主要ローダーである「Foudre v34」を更新しています。感染経路も進化しており、従来の単純なマクロ付き文書から、組み込み実行ファイルを含むMicrosoft Excelファイル(例: 「Notable Martyrs.zip」)へと変わっています。これらはアンチウイルス検出を回避し、マルウェアペイロードを投下するように設計されています。
同グループはまた、複雑な新しいドメイン生成アルゴリズム(DGA)を採用し、C2インフラの回復力を維持しています。
- 「Tonnerre v50」は、「.privatedns.org」で終わる13文字のドメインを生成する不明なDGAを使用しています。
- 「Foudre v34」は、「.site」や「.ix.tc」などのトップレベルドメイン(TLD)で10文字または12文字のドメインを生成する二段階DGAを使用しています。
大規模なインフラと拡大する標的
調査により、「開発用」テストサーバーと「実際の被害者」を標的とするプロダクションサーバーを区別する、大規模なインフラネットワークが明らかになりました。活動規模は以前の推定よりも大幅に拡大しており、同グループは複数のキャンペーンを同時に実行しています。
特定された被害者の大半は依然としてイランの反体制派ですが、グローバルなネットワークと重要インフラを標的としていることから、その範囲が広がっていることが示されています。
セキュリティ専門家への勧告
セキュリティ専門家は、特定されたDGAパターンと異常なTelegram APIリクエストについてネットワークトラフィックを監視することが推奨されます。「Prince of Persia」は、活動を再開しただけでなく、以前よりも危険な存在であることを証明しています。研究者らが同グループのC2構造をマッピングできたことで、防御側は新たな脅威をブロックするための重要なIoC(Indicators of Compromise)を入手しています。