Daha önce hareketsiz kaldığı düşünülen İran devleti destekli tehdit aktörleri, küresel olarak kritik altyapı kuruluşlarını hedef alan gelişmiş yeni kötü amaçlı yazılım kampanyalarıyla yeniden ortaya çıktı.
SafeBreach Labs tarafından yayınlanan yeni bir araştırma raporu, “Pers Prensi” (Infy olarak da bilinir) Gelişmiş Kalıcı Tehdit (APT) grubunun, operasyonel güvenlik ve araçlarında dramatik bir revizyonla üç yıllık sessizliğini bozduğunu ortaya koyuyor.
2000’li yılların başından beri aktif olan grup, kamuoyunun maruz kalmasının ardından 2022’de ortadan kaybolmuş gibi görünüyor.
Ancak yeni kanıtlar, bu süreyi yeniden donatmak için harcadıklarını doğruluyor. Eylül 2025 itibarıyla grubun paralel kampanyalarda yeni kötü amaçlı yazılım varyantları Tonnerre v50 ve Foudre v34’ü dağıttığı gözlemlendi.
Taktiklerindeki en önemli değişiklik, Komuta ve Kontrol (C2) iletişimi için geleneksel Dosya Aktarım Protokolü (FTP) yöntemlerinin terk edilmesidir.
Bunun yerine grup, tespit edilmekten kaçınmak için meşru bir şifreli mesajlaşma platformu olan Telegram’ı kullanmaya yöneldi.
Telegram C2’ye Geçiş
Yeni Tonnerre v50 kötü amaçlı yazılımı, virüslü makineleri, “Gururla” anlamına gelen “سرافراز” (Sarafraz) adlı bir Telegram grubuna yönlendiriyor.
SafeBreach Labs, Prince of Persia grubunu 2019’dan beri takip ediyor. Grup 2022’de kararmaya başladıktan sonra araştırma ekibimiz, tanımladığımız çeşitli dayanak noktalarına ve kalıplara dayanarak kanıt aramaya devam etti.
Tehdit aktörleri, komutlar vermek ve kurban verilerini Telegram API aracılığıyla sızdırmak için bir Telegram botu kullanıyor.
Araştırmacılar, botla birlikte yönetici olarak çalışan @ehsan8999100 adlı belirli bir kullanıcı tanıtıcısını belirlediler.
Muhtemelen operasyonun arkasındaki İranlı hackerlardan biri olan bu kullanıcının 14 Aralık 2025 gibi yakın bir tarihte aktif olduğu gözlemlendi.
Farsça bir adın kullanılması ve Tahran ve Meşhed gibi şehirlere işaret eden tutarlı IP coğrafi konum verileri, İran devletinin çıkarlarına atfedilmesini güçlendiriyor.
Telegram’a geçişin yanı sıra grup, birincil yükleyicisi Foudre v34’ü de güncelledi. Enfeksiyon vektörü, basit makro yüklü belgelerden, yerleşik yürütülebilir dosyalar içeren Microsoft Excel dosyalarına dönüştü.
“Notable Martyrs.zip” gibi bu dosyalar, antivirüs tespitini atlamak ve kötü amaçlı yazılım yükünü düşürmek için tasarlanmıştır.
Grup ayrıca dayanıklı C2 altyapısını korumak için karmaşık yeni Etki Alanı Oluşturma Algoritmalarını (DGA) kullanıyor.
- Tonnerre v50, .privatedns.org ile biten 13 karakterlik alanlar üreten bilinmeyen bir DGA kullanıyor.
- Foudre v34, .site ve .ix.tc gibi TLD’lerde 10 veya 12 karakterli alanlar üreten iki adımlı bir DGA sürecini kullanır.
“Test” ve “Üretim” Altyapısı
Soruşturma, geliştirme için kullanılan “test” sunucuları ile gerçek kurbanları hedef alan “üretim” sunucuları arasında ayrım yapan devasa bir altyapı ağını ortaya çıkardı.
Güvenlik profesyonellerinin, belirlenen DGA kalıpları ve olağandışı Telegram API istekleri için ağ trafiğini izlemeleri tavsiye ediliyor; çünkü “Pers Prensi” bunların yalnızca aktif değil, aynı zamanda eskisinden daha tehlikeli olduğunu da kanıtladı.
Grubun aynı anda birden fazla kampanya yürütmesi nedeniyle etkinliğin ölçeği önceden tahmin edilenden önemli ölçüde daha büyük.
Tespit edilen mağdurların çoğunluğu İranlı muhalifler olmaya devam ederken, grubun küresel ağları ve kritik altyapıları hedeflemesi kapsamın genişlediğini gösteriyor.
Bu operasyonlarda “benzeri görülmemiş görünürlük” sağlama yeteneği, araştırmacıların grubun C2 yapısının haritasını çıkarmasına olanak tanıdı ve savunuculara bu ortaya çıkan tehditleri engellemek için kritik Uzlaşma Göstergeleri (IoC’ler) sağladı.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.