Nguyễn Tiến Đạt
Intern Writer
Nhóm hacker có liên hệ với Iran, được biết đến với tên gọi Infy (hay Prince of Persia), đã nối lại các hoạt động gián điệp mạng bằng việc triển khai hạ tầng chỉ huy – điều khiển (C2) mới, trùng với thời điểm chính quyền Iran chấm dứt lệnh cắt internet trên diện rộng hồi đầu năm 2026.
Theo báo cáo của công ty an ninh mạng SafeBreach, Infy đã ngừng hoàn toàn việc duy trì máy chủ C2 vào ngày 8/1/2026 – lần gián đoạn đầu tiên kể từ khi nhóm này bị theo dõi. Đáng chú ý, thời điểm này trùng khớp với quyết định phong tỏa internet toàn quốc của Iran nhằm đối phó các cuộc biểu tình trong nước.
Ông Tomer Bar, Phó Chủ tịch Nghiên cứu Bảo mật tại SafeBreach, nhận định động thái trên cho thấy ngay cả các đơn vị tấn công mạng có khả năng được nhà nước hậu thuẫn cũng bị ảnh hưởng bởi các biện pháp kiểm soát hạ tầng internet nội địa.
Hoạt động của Infy được ghi nhận trở lại vào ngày 26/1/2026, khi nhóm thiết lập các máy chủ C2 mới, chỉ một ngày trước khi chính phủ Iran bắt đầu nới lỏng các hạn chế internet. Theo các chuyên gia, mốc thời gian này củng cố thêm bằng chứng cho thấy Infy là một tác nhân đe dọa được nhà nước Iran bảo trợ.
Trong báo cáo công bố tháng 12/2025, SafeBreach đã tiết lộ việc Infy liên tục nâng cấp các công cụ tấn công, bao gồm các phiên bản mới của Foudre và Tonnerre. Đáng chú ý, Tonnerre đã được tích hợp điều khiển thông qua bot Telegram, cho phép kẻ tấn công gửi lệnh và thu thập dữ liệu từ xa. Phiên bản Tonnerre v50 được đặt tên mã là Tornado.
Theo SafeBreach, từ cuối năm 2025 đến đầu tháng 2/2026, Infy đã thay thế toàn bộ hạ tầng C2 cho các biến thể Foudre và Tonnerre, đồng thời giới thiệu Tornado v51, hỗ trợ cả giao thức HTTP và Telegram cho mục đích chỉ huy – điều khiển.
Phiên bản này sử dụng hai phương thức tạo tên miền C2:
Thuật toán tạo tên miền động (DGA) mới
Tên miền cố định được giải mã từ dữ liệu blockchain
Cách tiếp cận này giúp kẻ tấn công linh hoạt hơn trong việc thay đổi hạ tầng C2 mà không cần cập nhật lại phần mềm độc hại trên máy nạn nhân.
Bên trong các tệp RAR là một gói tự giải nén (SFX) chứa:
AuthFWSnapin.dll – payload chính của Tornado v51
reg7989.dll – trình cài đặt có khả năng kiểm tra sự hiện diện của phần mềm diệt virus Avast và tạo tác vụ theo lịch trình để duy trì quyền truy cập lâu dài
Tornado có thể giao tiếp với máy chủ C2 qua HTTP để tải thêm payload và thu thập dữ liệu hệ thống, hoặc sử dụng API của bot Telegram để đánh cắp thông tin và nhận lệnh điều khiển.
Ngoài ra, các nhà nghiên cứu cũng xác định mối tương quan mạnh giữa Infy và một chiến dịch phát tán mã độc thông qua kho Python Package Index (PyPI), sử dụng gói độc hại nhằm đánh cắp dữ liệu thông qua bot Telegram. Một số điểm tương đồng về kỹ thuật cũng được ghi nhận giữa Infy và nhóm Charming Kitten, dù mối liên hệ này chưa đủ rõ ràng để khẳng định.
Theo SafeBreach, ZZ Stealer đóng vai trò thu thập thông tin ban đầu như dữ liệu môi trường, ảnh chụp màn hình và toàn bộ tệp trên máy tính nạn nhân, trước khi tải và thực thi mã độc giai đoạn hai theo lệnh từ máy chủ C2.
thehackernews.com
Theo báo cáo của công ty an ninh mạng SafeBreach, Infy đã ngừng hoàn toàn việc duy trì máy chủ C2 vào ngày 8/1/2026 – lần gián đoạn đầu tiên kể từ khi nhóm này bị theo dõi. Đáng chú ý, thời điểm này trùng khớp với quyết định phong tỏa internet toàn quốc của Iran nhằm đối phó các cuộc biểu tình trong nước.
Ông Tomer Bar, Phó Chủ tịch Nghiên cứu Bảo mật tại SafeBreach, nhận định động thái trên cho thấy ngay cả các đơn vị tấn công mạng có khả năng được nhà nước hậu thuẫn cũng bị ảnh hưởng bởi các biện pháp kiểm soát hạ tầng internet nội địa.
Hoạt động của Infy được ghi nhận trở lại vào ngày 26/1/2026, khi nhóm thiết lập các máy chủ C2 mới, chỉ một ngày trước khi chính phủ Iran bắt đầu nới lỏng các hạn chế internet. Theo các chuyên gia, mốc thời gian này củng cố thêm bằng chứng cho thấy Infy là một tác nhân đe dọa được nhà nước Iran bảo trợ.
Nhóm hacker lâu đời nhưng kín tiếng
Infy là một trong những nhóm tin tặc do Iran hậu thuẫn hoạt động lâu đời nhất, được cho là đã tồn tại từ năm 2004. Nhóm này chủ yếu tiến hành các cuộc tấn công có mục tiêu cao nhằm vào cá nhân, phục vụ mục đích thu thập thông tin tình báo, thay vì các chiến dịch quy mô lớn mang tính phá hoại.Trong báo cáo công bố tháng 12/2025, SafeBreach đã tiết lộ việc Infy liên tục nâng cấp các công cụ tấn công, bao gồm các phiên bản mới của Foudre và Tonnerre. Đáng chú ý, Tonnerre đã được tích hợp điều khiển thông qua bot Telegram, cho phép kẻ tấn công gửi lệnh và thu thập dữ liệu từ xa. Phiên bản Tonnerre v50 được đặt tên mã là Tornado.
Tornado v51 và hạ tầng C2 linh hoạt
Theo SafeBreach, từ cuối năm 2025 đến đầu tháng 2/2026, Infy đã thay thế toàn bộ hạ tầng C2 cho các biến thể Foudre và Tonnerre, đồng thời giới thiệu Tornado v51, hỗ trợ cả giao thức HTTP và Telegram cho mục đích chỉ huy – điều khiển.
Phiên bản này sử dụng hai phương thức tạo tên miền C2:
Thuật toán tạo tên miền động (DGA) mới
Tên miền cố định được giải mã từ dữ liệu blockchain
Cách tiếp cận này giúp kẻ tấn công linh hoạt hơn trong việc thay đổi hạ tầng C2 mà không cần cập nhật lại phần mềm độc hại trên máy nạn nhân.
Khai thác lỗ hổng WinRAR và mở rộng phạm vi tấn công
Các nhà nghiên cứu cũng phát hiện dấu hiệu Infy khai thác lỗ hổng kéo dài trong WinRAR (CVE-2025-8088 hoặc CVE-2025-6218) để phát tán mã độc Tornado. Các tệp RAR độc hại đã được tải lên VirusTotal từ Đức và Ấn Độ vào giữa tháng 12/2025, cho thấy khả năng hai quốc gia này nằm trong danh sách mục tiêu.Bên trong các tệp RAR là một gói tự giải nén (SFX) chứa:
AuthFWSnapin.dll – payload chính của Tornado v51
reg7989.dll – trình cài đặt có khả năng kiểm tra sự hiện diện của phần mềm diệt virus Avast và tạo tác vụ theo lịch trình để duy trì quyền truy cập lâu dài
Tornado có thể giao tiếp với máy chủ C2 qua HTTP để tải thêm payload và thu thập dữ liệu hệ thống, hoặc sử dụng API của bot Telegram để đánh cắp thông tin và nhận lệnh điều khiển.
Hé lộ chuỗi tấn công và mối liên hệ tiềm năng
SafeBreach cho biết họ đã trích xuất toàn bộ nội dung từ các nhóm Telegram riêng tư của Infy, qua đó phát hiện thêm một chuỗi tấn công liên quan đến ZZ Stealer – mã độc giai đoạn đầu có khả năng tải về biến thể tùy chỉnh của StormKitty.Ngoài ra, các nhà nghiên cứu cũng xác định mối tương quan mạnh giữa Infy và một chiến dịch phát tán mã độc thông qua kho Python Package Index (PyPI), sử dụng gói độc hại nhằm đánh cắp dữ liệu thông qua bot Telegram. Một số điểm tương đồng về kỹ thuật cũng được ghi nhận giữa Infy và nhóm Charming Kitten, dù mối liên hệ này chưa đủ rõ ràng để khẳng định.
Theo SafeBreach, ZZ Stealer đóng vai trò thu thập thông tin ban đầu như dữ liệu môi trường, ảnh chụp màn hình và toàn bộ tệp trên máy tính nạn nhân, trước khi tải và thực thi mã độc giai đoạn hai theo lệnh từ máy chủ C2.
Infy Hackers Resume Operations with New C2 Servers After Iran Internet Blackout Ends
Infy hackers revived operations post-Iran blackout, deploying Tornado malware, Telegram C2, and WinRAR exploits.
thehackernews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview