HackerNews 编译，转载请注明出处：

随着伊朗当局于2026年1月初实施的大规模互联网封锁结束，隐秘的伊朗威胁组织 Infy 在启用全新命令与控制（C2）基础设施的同时，也升级了其战术以更好地隐藏行踪。

安全公司SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据的研究副总裁Tomer Bar在报告中指出：“这是我们监测该威胁组织活动以来，其首次于 1 月 8 日停止维护 C2 服务器。”他进一步分析称：“当日伊朗当局为应对近期抗议活动，实施了全国断网，这或许表明，即便是政府关联的网络部队，在伊朗境内也不具备开展恶意活动的能力或动机。”

该网络安全公司表示，其于 2026 年 1 月 26 日观测到该黑客团伙重启活动，搭建了新的 C2 服务器，而次日伊朗政府便放宽了境内网络限制。这一动态意义重大，尤为关键的是，它提供了该威胁组织为伊朗国家资助、受伊朗政府支持的确凿证据。

Infy 是伊朗境内众多国家资助黑客团伙之一，这些团伙均围绕德黑兰战略利益，开展间谍活动、破坏行动及舆论影响操作。同时它也是历史最悠久、知名度较低的团伙之一，自 2004 年起便隐匿行踪、低调运作，通过针对个人的 “精准聚焦式” 攻击开展情报收集，从未引发过多关注。

SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据。Tonnerre 最新版本（50 版）被赋予代号 “龙卷风（Tornado）”

对该威胁组织 2025 年 12 月 19 日至 2026 年 2 月 3 日期间活动的持续监测发现，攻击者已更换所有版本 Foudre 和 Tonnerre 的 C2 基础设施，同时推出 51 版龙卷风恶意软件，该版本同时采用 HTTP 协议与电报平台作为 C2 信道。

Bar 表示：“该恶意软件通过两种不同方式生成 C2 域名，一是全新域名生成算法（DGA），二是借助区块链数据反混淆技术生成固定域名，这是一种独特的方式，我们推测其用途是在无需升级龙卷风版本的前提下，提升 C2 域名注册的灵活性。”

另有迹象表明，Infy已将WinRAR中的一个“1-day”漏洞（CVE-2025-8088或CVE-2025-6218）武器化，用于在受感染主机上释放Tornado恶意负载。攻击载体的转变被视为提高其行动成功率的手段。2025年12月中旬，这些特制 RAR 压缩包从德国和印度被上传至 VirusTotal 平台，表明这两个国家或为攻击目标。

该RAR文件内为一个自解压（SFX）存档，包含两个文件：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府（KRG）实施网络间谍活动。

...

HackerNews 编译，转载请注明出处：

...