İran Hedefli Infy APT’sinin Yeniden Ortaya Çıkışı ve Yeni Zararlı Yazılım Faaliyetleri
Infy APT’nin Yeniden Faaliyete Geçişi
Son yapılan araştırmalar, İran merkezli Infy APT grubunun (diğer adıyla İran Prensi) beş yıl aradan sonra yeniden aktif hale geldiğini ortaya koydu. Geçmişte İsveç, Hollanda ve Türkiye gibi ülkelerde çeşitli hedeflere saldırılar düzenleyen bu grup, günümüzde Iran, Irak, Türkiye, Hindistan, Kanada ve Avrupa genelinde çeşitli saldırılar gerçekleştirmektedir. Tomer Bar, SafeBreach’ın Güvenlik Araştırmaları Başkan Yardımcısı, bu grubun tekrar gündeme gelmesini “Prens Pers gibi bir tehdit grubunun ölçeği, başlangıçta tahmin ettiğimizden daha büyük” şeklinde değerlendirdi.
Infy’nin Tarihçesi ve Faaliyet Biçimi
Infy, 2004 yılından bu yana varlık gösteren en eski gelişmiş kalıcı tehdit (APT) aktörlerinden biridir. Grubun gizliliğini koruması, diğer İranlı gruplar Hızlı Kedi, MuddyWater ve OilRig gibi dikkat çekmesini engellemiştir. Infy’nin saldırılarında ağırlıklı olarak iki zararlı yazılım türü kullanılmaktadır: Foudre adlı bir indirme programı ve ikinci aşama implant olarak çalışan Tonnerre.
Foudre, hedef cihazlardan veri toplamak amacıyla kullanılmaktadır ve çoğunlukla phishing (oltalama) e-postaları aracılığıyla dağıtılmaktadır. Tonnerre ise Foudre tarafından ulaştırılan bir ikinci aşama zararlı yazılımdır.
Yeni Çalışma Yöntemleri ve Güncellenmiş Malware Versiyonları
Son incelemelere göre, SafeBreach araştırmacıları, Infy APT’nin güncellenmiş Foudre (sürüm 34) ve Tonnerre (sürüm 12-18, 50) sürümlerinin kullanıldığını kaydetti. Tonnerre’nin en son versiyonu Eylül 2025’te tespit edilmiştir. Grup, saldırı yöntemlerinde de değişiklik yaparak, daha önce makrolarla hazırlanan Microsoft Excel dosyalarından, bu dosyalara gömülü bir yürütülebilir dosya yerleştirmeye geçiş yapmıştır.
Komut ve Kontrol Altyapısı
Infy’nin önemli özelliklerinden biri, komut ve kontrol (C2) altyapısını daha dayanıklı hale getirmek için bir alan oluşturma algoritması (DGA) kullanmasıdır. Foudre ve Tonnerre, C2 alanının doğruluğunu kontrol için bir RSA imza dosyası indirerek, bu dosyayı bir genel anahtar ile şifre çözüp yerel bir doğrulama dosyası ile karşılaştırmaktadır.
C2 sunucusunda, iletişim kayıtlarını ve veri sızıntılarını depolamak için kullanılan “key” adında bir dizin bulunmaktadır. Bar, “Her gün, Foudre, tehdit aktörünün RSA özel anahtarıyla şifrelenmiş özel bir imza dosyasını indirir ve ardından yerleşik bir genel anahtar ile RSA doğrulama işlemi yaparak bu alanın onaylı bir alan olup olmadığını kontrol eder” demektedir.
Telegram Üzerinden İletişim ve Yeni Gelişmeler
Tonnerre’nin en son sürümü, C2 sunucusu aracılığıyla bir Telegram grubuna (Persce “سرافراز” anlamına gelen “gururla” anlamına gelir) erişim mekanizması içermektedir. Bu grup, komut göndermek ve veri toplamak için muhtemelen kullanılan bir Telegram botu ile bir kullanıcıdan oluşmaktadır.
Söz konusu Telegram grubuna ilişkin bilgiler, C2 sunucusundaki “tga.adr” adlı bir dosyada saklanmaktadır. Bu dosyanın indirilmesi yalnızca belirli bir kurban listesi için tetiklenebilmektedir.
Sonuç
Infy APT’nin yeniden ortaya çıkışı, siber güvenlik topluluğu için önemli tehditleri beraberinde getirmektedir. Gösterdiği kendine has çalışma yöntemleri ve teknolojik yeteneklerle, bu grubun aktive olma süreci, kullanıcıları ve kuruluşları çeşitli datalarla korumak ve siber savunma stratejilerini güçlendirmek adına dikkatle takip edilmelidir. Sonuç olarak APT’ler, devlet destekli siber saldırıların dinamik yapısını anlamak ve önlemek için kritik bir öneme sahiptir.
