详细信息：以下是伊朗如何在黑客的帮助下监视异见人士

由国家支持的伊朗威胁行为体开展的两次网络行动表明，他们继续专注于汇编可能威胁伊斯兰共和国稳定的伊朗公民的详细档案，包括异见人士、反对派力量、ISIS支持者和库尔德本地人。

追踪两个先进的伊朗网络组织家猫（或APT-C-50）和Infy的大规模间谍活动，网络安全公司Check Point披露了他们正在进行的活动的最新证据，这些活动涉及使用经过改进的恶意软件工具集，以及以流行应用程序的名义诱骗不知情的用户下载恶意软件。

Check Point的研究人员在一项新的分析中说：“这两个组织都进行了长期的网络攻击和侵入性监视活动，目标都是个人的移动设备和个人电脑。”。“这些行动的操作者显然是积极的、反应迅速的，并不断寻求新的攻击载体和技术，以确保其行动的持久性。”

尽管受害者和收集的信息有重叠，但这两个威胁行为体被认为是相互独立的。但研究人员表示，使用两组不同的攻击载体打击同一目标所产生的“协同效应”不容忽视。

家养小猫模仿德黑兰餐馆的应用程序

自2016年以来一直活跃的国产Kitten一直被认为是针对特定群体的个人，他们使用恶意Android应用程序收集手机上的敏感信息，如短信、通话记录、照片、视频和位置数据以及语音记录。

根据Check Point，APT-C-50发现了四个活跃的活动，最近一个活动开始于2020年11月，该演员被发现利用了各种各样的封面应用，包括VIPRE Mobile Security（一个虚假的移动安全应用程序）、异国情调的Flowers（谷歌Play上一款重新打包的游戏变体），和伊朗女忍者（一款墙纸应用程序）发布了一款名为FurBall的恶意软件。

11月的最新行动也不例外，该行动利用位于德黑兰的Mohsen餐厅的一个假冒应用程序，通过多个载体诱使受害者安装该应用程序，从而达到同样的目的；带有下载恶意软件链接的短信，这是一个承载有效载荷的伊朗博客，甚至可以通过电报渠道共享。

研究人员称，此次袭击的主要目标包括伊朗、美国、英国、巴基斯坦、阿富汗、土耳其和乌兹别克斯坦的1200人，据报道有600多人成功感染。

一旦安装，FurBall会授予自己广泛的权限，以便在每次设备启动时自动执行应用程序，并继续收集浏览器历史记录、硬件信息、外部SD卡上的文件，并每隔20秒定期过滤视频、照片和通话记录。

它还可以监控剪贴板内容，访问设备接收到的所有通知，并具有远程执行命令和控制（C2）服务器发出的命令以录制音频、视频和电话的功能。

有趣的是，FurBall似乎基于一个名为KidLogger的商业间谍软件，这意味着演员“要么获得了KidLogger源代码，要么对一个样本进行了反向工程，去掉了所有无关部分，然后添加了更多功能。”

Infy带着之前未知的第二阶段新恶意软件返回

2016年5月，帕洛阿尔托网络公司首次发现Infy（又名波斯王子）于2020年4月重新开展活动，标志着该组织针对伊朗异见人士和欧洲各地外交机构的网络行动延续了十多年。

2016年6月，帕洛阿尔托网络公司（Palo Alto Networks）对该集团的指挥与控制基础设施进行了一次拆除行动，导致他们的监视工作遭受打击。2017年8月，英菲公司（Infy）凭借反收购技术，与名为Foudre的新Windows信息窃取者一起重新露面。

2016年7月，研究人员Claudio Guarnieri和Collin Anderson披露了证据，表明重定向到天坑的C2域的一个子集被DNS篡改和HTTP过滤阻止，从而阻止了对天坑的访问，之后，该组织也被认为与伊朗电信公司有联系。

然后在2018年，Intezer实验室发现了Foudre恶意软件的新版本，称为版本8，其中还包含一个“未知二进制文件”—；现在通过检查点命名为Tonnerre，用于扩展前者的功能。

研究人员说：“看来，经过长时间的宕机，伊朗网络攻击者得以重组、修复以前的问题，并大大加强了他们的OPSEC活动，以及他们工具的技术熟练程度和能力。”。

自2020年4月以来，Foudre（20-22）的三个版本已经被发现，新的变种下载Tonnerre 11作为下一阶段的有效载荷。

攻击链从发送包含用波斯语编写的诱饵文档的钓鱼电子邮件开始，关闭后运行恶意宏，删除并执行Foudre后门，然后连接C2服务器下载Tonnerre植入物。

除了执行指挥与控制服务器的命令、录制声音和捕获屏幕截图外，Tonerre的突出之处在于它使用了两套指挥与控制服务器—；一个是使用HTTP接收命令和下载更新，另一个是通过FTP过滤被盗数据的服务器。

研究人员指出，由于许多供应商在恶意软件扫描过程中忽略了大文件，Tonnerre不寻常的大小也可能对其有利，并逃避检测。

然而，不像国内小猫，只有几十名受害者被发现是这次袭击的目标，包括来自伊拉克、阿塞拜疆、英国、俄罗斯、罗马尼亚、德国、加拿大、土耳其、美国、荷兰和瑞典的受害者。

Check Point网络研究负责人亚尼夫·巴尔马斯（Yaniv Balmas）说：“这些伊朗网络间谍活动的经营者似乎完全不受其他人的任何反活动的影响，尽管他们在过去被揭露，甚至被阻止了—；他们根本没有停止。”。

“这些竞选者只是从过去吸取教训，修改他们的战术，然后再等一段时间，等待风暴过去，只会再次发动袭击。此外，值得注意的是，伊朗政权愿意花费大量资源来实施他们的控制。”