Блокчейн против рубильника. Иранские спецслужбы случайно выдали своих лучших хакеров, просто выключив интернет в стране
NewsMakerЦепочка совпадений оказалась слишком аккуратной, чтобы быть случайностью.
Свежий технический отчёт SafeBreach Labs показывает , как активность группировки «Принц Персии» менялась сразу после выхода предыдущего отчёта и как эти изменения совпали с отключением интернета в Иране . По данным компании, наблюдения за инфраструктурой злоумышленников позволили не только отследить эволюцию их инструментов, но и сделать вывод о прямой связи кампании с государственными структурами.
Томер Бар из SafeBreach описал период с 19 декабря 2025 года по 3 февраля 2026 года, когда операторы быстро заменили телеграм-аккаунты и серверы управления для семейств Foudre и Tonnerre, а также пересобрали домены, включая адреса, генерируемые алгоритмом DGA. Параллельно группировка попыталась осложнить атрибуцию, очистив журналы, убрав IP-адреса жертв из логов и подставляя в именах выгруженных файлов значение 0.0.0.0.
В отчёте описана новая модификация, которую в SafeBreach называют Tornado версии 51. Она совмещает управление через HTTP и Telegram, а домены для серверов может получать двумя способами: через DGA и через расшифровку данных из блокчейна, что даёт операторам гибкость без постоянной замены сборок. Для первичного заражения, как считают авторы, стали использовать свежую уязвимость WinRAR , чтобы размещать компонент в папке автозагрузки.
Также описан возможный ответный удар по аналитикам. В истории сообщений Telegram-группы, связанной с «Принцем Персии», обнаружили ZIP-архив, замаскированный под выгрузку от жертвы. Он запускал цепочку с LNK и PowerShell и устанавливал ZZ Stealer, который затем подгружал модифицированный инфостилер StormKitty. SafeBreach отмечает сильные совпадения с инцидентом начала 2024 года, когда компрометировали библиотеки Python с похожей техникой, о чём сообщала компания Checkmarx. Дополнительно упоминается более слабая связь по приёмам доставки с группировкой Educated Manticore, которую ранее описывала Check Point.
Ключевой аргумент о государственной природе кампании связан с паузой в работе инфраструктуры. SafeBreach зафиксировала отсутствие новых регистраций доменов и выгрузок данных с 8 по 24 января 2026 года и связывает это с общенациональным отключением интернета в Иране . 26 января активность по подготовке серверов возобновилась, а уже 27 января отключение завершилось, что, по версии компании, стало дополнительным индикатором зависимости операций от решений властей.
Таким образом, вредоносные кампании стоит оценивать не только по коду и индикаторам, но и по их ритму: когда инструменты и инфраструктура двигаются синхронно с событиями в реальном мире, это превращается в сигнал, который помогает точнее понимать источники угроз и заранее укреплять защиту.
Свежий технический отчёт SafeBreach Labs показывает , как активность группировки «Принц Персии» менялась сразу после выхода предыдущего отчёта и как эти изменения совпали с отключением интернета в Иране . По данным компании, наблюдения за инфраструктурой злоумышленников позволили не только отследить эволюцию их инструментов, но и сделать вывод о прямой связи кампании с государственными структурами.
Томер Бар из SafeBreach описал период с 19 декабря 2025 года по 3 февраля 2026 года, когда операторы быстро заменили телеграм-аккаунты и серверы управления для семейств Foudre и Tonnerre, а также пересобрали домены, включая адреса, генерируемые алгоритмом DGA. Параллельно группировка попыталась осложнить атрибуцию, очистив журналы, убрав IP-адреса жертв из логов и подставляя в именах выгруженных файлов значение 0.0.0.0.
В отчёте описана новая модификация, которую в SafeBreach называют Tornado версии 51. Она совмещает управление через HTTP и Telegram, а домены для серверов может получать двумя способами: через DGA и через расшифровку данных из блокчейна, что даёт операторам гибкость без постоянной замены сборок. Для первичного заражения, как считают авторы, стали использовать свежую уязвимость WinRAR , чтобы размещать компонент в папке автозагрузки.
Также описан возможный ответный удар по аналитикам. В истории сообщений Telegram-группы, связанной с «Принцем Персии», обнаружили ZIP-архив, замаскированный под выгрузку от жертвы. Он запускал цепочку с LNK и PowerShell и устанавливал ZZ Stealer, который затем подгружал модифицированный инфостилер StormKitty. SafeBreach отмечает сильные совпадения с инцидентом начала 2024 года, когда компрометировали библиотеки Python с похожей техникой, о чём сообщала компания Checkmarx. Дополнительно упоминается более слабая связь по приёмам доставки с группировкой Educated Manticore, которую ранее описывала Check Point.
Ключевой аргумент о государственной природе кампании связан с паузой в работе инфраструктуры. SafeBreach зафиксировала отсутствие новых регистраций доменов и выгрузок данных с 8 по 24 января 2026 года и связывает это с общенациональным отключением интернета в Иране . 26 января активность по подготовке серверов возобновилась, а уже 27 января отключение завершилось, что, по версии компании, стало дополнительным индикатором зависимости операций от решений властей.
Таким образом, вредоносные кампании стоит оценивать не только по коду и индикаторам, но и по их ритму: когда инструменты и инфраструктура двигаются синхронно с событиями в реальном мире, это превращается в сигнал, который помогает точнее понимать источники угроз и заранее укреплять защиту.