{
	"id": "3e8254c0-560d-4d39-8719-713b180a26f5",
	"created_at": "2026-04-06T00:18:42.775586Z",
	"updated_at": "2026-04-10T03:36:22.92794Z",
	"deleted_at": null,
	"sha1_hash": "4949610fadf2ddbd045ab9c1e2e940aec6cd3079",
	"title": "美人鱼(Infy)APT组织的归来——使用最新的Foudre后门进行攻击活动的分析-腾讯云开发者社区-腾讯云",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3933407,
	"plain_text": "美人鱼(Infy)APT组织的归来——使用最新的Foudre后门进行攻击活动的\r\n分析-腾讯云开发者社区-腾讯云\r\nArchived: 2026-04-05 19:19:24 UTC\r\n本文一共4127字,56张图 预计阅读时间13分钟\r\n封面\r\n0x00.前言\r\n美人鱼(又称 infy , Prince of Persia , Foudre )APT组织其主要针对政府机构进行攻击活动,由unit42以及360威胁情\r\n报中心首先于2016年5月进行披露,其最早的攻击活动可以追溯到2010年,并且期间一直没有长时间的间断.该组织背\r\n后的来源为中东地区.其使用的后门由于其C2的请求中带有 infy 的路径,故此被名为infy后门,在2017年,unit42发布\r\n报告披露了其使用了更新的后门,名为Foudre。不过其单独披露了版本1和版本2的后门。在2018年,Intezerlab发布报\r\n告披露了关于Foudre后门的第八版本.在本次的攻击活动中,我们发现了其使用的第21版本与第22版本\r\n本次发现的攻击活动中,Gcow安全团队追影小组以及微步情报局共同发现并且分析了该活动,其使用了带有恶意宏的\r\n文档并且使用了新版本的Foudre后门,其更新了后门的一些操作.同时保留了相关的域生成算法以及部分C2的请求参\r\n数具有一定的重合度.并且介于其一直通过在文档中嵌入ole对象通过社工的方式诱导受害者运行到使用带有恶意宏\r\n提取嵌入的ole对象并且执行的方式释放并运行其打包 WinSFX 文档以执行相应的Foudre后门,故此撰写本报告以便\r\n于看官对该组织更加的了解\r\n根据样本的针对性我们判断其很可能属于中东的威胁演员,并且很大概率属于伊朗\r\n0x01.样本分析\r\n样本为doc文档，诱饵文档中的内容由波斯语的图片组成，带有宏代码，运行后进程链无其他新进程产生\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 1 of 23\n\n图片1 文档内容截图\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 2 of 23\n\n图片2 文字内容截图\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 3 of 23\n\n图片3 文字内容翻译\r\n文档中插入了几张 InlineShape 的图片\r\n图片4 嵌入的InlineShape的图片\r\n宏代码运行时，遍历插入的几张图片，遍历到Type属性为“wdInlineShapeEmbeddedOLEObject”的图片\r\n图片5 宏代码提取相应属性图片\r\n拼接出路径，根据版本不同释放\r\n到\" C:\\\\Users\\\\sam\\\\AppData\\\\Local\\\\Temp\\\\upxuppos\\\\fwupdate.tmp \"或\" C:\\\\Users\\\\sam\\\\AppData\\\\Local\\\\Temp\\\\fwupdate.tm\r\n并将 .tmp 后缀修改为 .temp\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 4 of 23\n\n图片6 根据不同版本释放恶意ole对象并且修改其后缀\r\n利用range.copy将图片拷贝到剪贴板，利用Shell.Applocation执行，在文档关闭时，样本会使用策略绕过 Avast 执\r\n行文件，然后清除掉粘贴板中的内容\r\n图片7 使用shell执行释放的恶意ole对象\r\nfwupdate.tmp\r\nfwupdate.tmp为一个自解压程序，压缩包大小仅为900K，解压后的文件200MB+，文件内容中含有大量重复内容\r\n压缩包调用 rundll32 加载 dll\r\n图片8 自解压命令\r\nconf4389.dll\r\n从1-110数字中取随机数，取出后根据随机数随机取出一个DLL名称\r\n图片9 取随机数并且获取dll名称\r\nDLL名称由样本写在内存中\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 5 of 23\n\n图片10 dll文件名称\r\n列表共计110行，全部取出后整理得下表，全都为系统白dll名称\r\n\"ActivationManager\"\"ActiveSyncProvider\"\"AdaptiveCards\"\"ACPBackgroundManagerPolicy\"\"APHostService\"\"ApiSetHost.AppExecution\r\n本次生成的是AuthFWSnapin.dll,在运行的时候其会从中随机抽选\r\n将一同释放出的 d488 移动到 C:\\\\ProgramData 目录下命名为\"AuthFWSnapin.dll\"并设置为\"NORMAL\"属性\r\n图片11 移动d488\r\n创建计划任务，在每次登陆时运行\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 6 of 23\n\n图片12 初始化计划任务xml\r\n图片13 使用schtask加载xml注册服务\r\nAuthFWSnapin.dll\r\n通过利用 Rundll32.exe 加载 Shell32.dll ，在DLL中main函数内再利用Rundll32.exe加载运行“ f8757 ”导出函数\r\n图片14 使用rundll32.exe加载导出函数f8757\r\n检测窗口\"NRV3B19\"\r\n图片15 检测窗口NRV3B19\r\n样本中还会将一串UNICODE字符串拷贝到变量中，但在执行过程中不知道有何用处\r\n图片16 拷贝一串字符串到变量\r\n图片17 这段unicode字符的翻译\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 7 of 23\n\n从注册表\" HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Shell Folders \"下\r\nAPPDATA查询到 %APPDATA% 路径\r\n图片18 通过注册表获取AppData的路径-1\r\n图片19 通过注册表获取AppData路径-2\r\n检查 %APPDATA% 是否存在，不存在则创建，然后在 %APPDATA% 下拼接出样本要释放的文件路径\r\n图片20 检查AppData是否存在以及拼接路径\r\n获取API地址\r\n图片21 获取API地址\r\n遍历进程，查询进程“dfserv.exe”\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 8 of 23\n\n图片22 查询进程dfserv.exe\r\n注册了一个窗口类，类名为“NRV3B91”，并创建一个窗口\" Form100022 \"，使用名为\" Form100022 \"的窗口进行键盘\r\n记录\r\n图片23 注册窗口类NRV3B91\r\n图片24 创建窗口并进行键盘记录\r\n获取到 HTTP 的 User-Agent 于 Google 域名\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 9 of 23\n\n图片25 获取Google域名的User-Agent\r\n获取到本机的计算机名、用户名、IP地址信息\r\n图片26 收集本机计算机名,用户名,IP地址信息\r\n创建两个定时器，一个每隔 10 S读取一次剪贴板内容，一个每隔 300s 链接 C2 发送窃取的信息\r\n图片27 设置定时器用于读取剪切板内容以及向C2发送信息\r\n在%APPDATA%目录下创建 config.xml 用作“Project INI”,存放一串数字ID\r\n图片28 写入数字ID于config.xml下\r\n与 Google 建立链接，查询状态码是否为 200\r\n图片29 对Google请求判断其状态码\r\n链接成功后，在%temp%目录下创建一个“ tempupd6.exe ”,向其中写入的内容为HTTP请求返回的内容，写入之后\r\n很快又将文件删除了\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 10 of 23\n\n图片30 向临时目录下写tempupd6.exe并删除\r\n域名使用生成算法生成\r\nToHex(CRC32(\"NRV1\" + 年 + 月 + 周号)) + (\".space\"|\".net\"|\".top\"|\".dynu.net\")\r\n使用lockbox3 Delphi库来验证 C2 ，从 C2 下载签名文件：\r\nhttp://[Domain]/de/?d=2020301\u0026v=00022\u0026t=2020%2D10%2D27%2D%2D15%2D47%2D28\r\n其中d 代表 {year} {自年初以来的天数} t 代表 当前时间\r\n下载的签名文件 %appdata%\\\\sig.tmp 使用公钥解密后与明文 %appdata%\\\\dom.tmp 比较是否相对应\r\n图片31 使用公钥解密下载的签名文件\r\n当生成的域名链接不成功时，尝试生成其他域名进行重试\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 11 of 23\n\n图片32 使用多种后缀的域名进行请求\r\n验证C2后，与C2通信发送请求检查更新\r\nhttp://\u003cC2domain\u003e/2014/?c=\u003c计算机名\u003e\u0026u=\u003c用户名\u003e＆v =\u003c版本\u003e＆s =\u003c密码\u003e＆f=\u003c文件夹\u003e\u0026mi=\u003cmachineguid_urlencoded\u003e\u0026b=\u003c32/64bit\r\n图片33 与C2通信检查更新\r\n将更新下载回的木马保存在 %temp%\\\\tempupd6.exe\r\n图片34 将更新下载的木马存在临时目录下的tempupd6.exe中\r\n更新木马下载成功后会再次下载签名文件进行验证，保存在 %temp%\\\\gtsdci32.tmp 中\r\nhttp://\u003cC2domain\u003e/2015/?c=\u003c计算机名\u003e\u0026u=\u003c用户名\u003e\u0026v=\u003c版本\u003e\u0026s=\u003c密码\u003e\u0026f=\u003c文件夹\u003e\u0026mi=\u003cmachineguid_urlencoded\u003e\u0026b=\u003c32/64bit\u003e\u0026t=\u003c\r\n图片35 向C2请求验证其下载的更新文件\r\n验证成功后，使用WinExec函数执行新下载回来的木马文件\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 12 of 23\n\n图片36 验证成功后使用winexec执行木马文件\r\n还会向C2传回加密后的键盘记录情况\r\nhttp://\u003cC2domain\u003e/en/d=\u003cdate\u003e,text=\u003cdata\u003e\r\n后续的载荷并没有下载下来故此不能继续分析\r\n上文中我们根据其C2通信的特征将其命名为V22\r\n此外我们还发现了另外一个与之有相似宏代码的恶意文档，根据与C2通信的特征将版本命名为V21\r\nV21样本中诱饵使用的文档截图:\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 13 of 23\n\n图片37 FoudreV21版本后门文档截图\r\n诱饵文档为带有宏代码的恶意文档，文档中的内容为波斯语\r\n图片38 诱饵文档内容翻译\r\n与前面的样本一样，插入的图片同样是InlineShape属性，将其释放到%temp%目录下并调用Shell运行，释放的是\r\n一个自解压文件\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 14 of 23\n\n图片39 释放的自解压文档EZUpdate.tmp\r\nEZUpdate.tmp\r\nEZUpdate.tmp是一个自解压文件，其中包含一个.bmp文件，一个.dll文件，一个d3d9\r\n执行的命令行为： Setup=rundll32.exe conf3234.dll f8753 d948\r\n图片40 自解压命令\r\nconf3234.dll\r\n在conf3234.dll中也有一段意义不明的字符串\r\n图片40 内置的意义不明字符串\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 15 of 23\n\n通过文档内容来看,该样本可能于2020/07/29号后进行编译的\r\n查找窗口\"NRV3B19\",\"NRV3B19\"是样本最后一阶段注册的窗口类\r\n图片41 查找窗口NRV3B19\r\n修改注册表，在 HKEY_CURRENT_USER\\\\Software\\\\temp 下写入一个名为“ran2”的注册表，注册表内DLL名称为上文所\r\n提及生成的\r\n图片42 将生成额dll名称写入注册表\r\n查询 C:\\\\Programdata 是否存在，不存在则创建\r\n图片43 检查路径是否㛮\r\n将最初同一个压缩包的 d389 移动到 C:\\\\ProgramData\\\\ 下，文件名为注册表内写入的DLL名\r\n图片44 移动d389\r\n创建计划任务，实现持久化,自启的方式依然是利用Rundll32调用Shell32.dll的函数执行DLL中的main函数，在main\r\n函数中再利用Rundll32调用导出函数\r\n图片45 初始化计划任务xml\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 16 of 23\n\n图片46 使用schtask注册计划任务\r\nAppxApplicabilityEngine.dll\r\n图片47 执行f8755函数\r\n检测参数\"1281020996\"\r\n图片48 检测参数\r\n注册窗口类“NRV3B19”,并创建一个窗口\" Form100021 \"，使用名为\" Form100021 \"的窗口进行键盘记录，与V22版本\r\n不同，V22的窗口为\" Form100022 \"，样本习惯使用版本号作为窗口名称的结尾\r\n图片49 注册窗口类NRV3B19\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 17 of 23\n\n图片50 创建窗口以进行键盘记录\r\n在V21中的域名生成算法与V22版本相同，使用的域名也相同\r\n域名算法中依然由\"NRV1\"+年+月+周组成\r\n图片51 C2域名生成\r\n生成的域名和V22版本样本相同，后缀依然为 \".space,“.net\",\".top\",\".dynu.net\"\r\n图片52 与上文一样出现的后缀\r\n两次样本用来解密从C2获得的签名文件的密钥也相同\r\n图片53 解密验证文件的私钥\r\n两版本样本功能几乎一致，唯一的不同点在于版本号不同，而没有发现其余功能的更新\r\n同时为了方便各位看官理解,我们绘制了该类样本的流程图\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 18 of 23\n\n图片54 Foudre后门v21V22版本执行流程图\r\n0x02.样本相似以及技术演进\r\n1.样本相似\r\n(1).域名生成算法的相关\r\n从之前的样本去看,从第一版本到第22版本都使用了相关的域名生成算法,其中以第八版本为一个分界线\r\n第八版本之前使用了如下的 C2 域名生成算法:\r\nToHex(CRC32(“NRV1” + 年 + 月 + 周号)) + (“.space”|”.net”|”.top”)\r\n第八版本使用了如下的 C2 域名生成算法:\r\nToHex(CRC32(“NRTV1” + 年 + 月 + 周号)) + (“.space”|”.net”|”.top”|”.dynu.net”)\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 19 of 23\n\n而本次活动披露的第21版本与第22版本则使用了老的域名生成算法进行生成,同时扩充了新的后缀\r\nToHex(CRC32(\"NRV1\" + 年 + 月 + 周号)) + (\".space\"|\".net\"|\".top\"|\".dynu.net\")\r\n在V21与V22版本中更新了添加了验证C2的功能，猜测可能因为之前有安全公司通过算法得到域名后抢在黑客组织\r\n前提前抢注了域名\r\n所以导致攻击者添加了验证的环节\r\n(2).C\u0026C报文的URL路径\r\n该组织并没有去费周折修改其样本的C\u0026C的请求报文\r\nhttp://\u003cC2domain\u003e/2014/?c=\u003c计算机名\u003e\u0026u=\u003c用户名\u003e＆v =\u003c版本\u003e＆s =\u003c密码\u003e＆f=\u003c文件夹\u003e\u0026mi=\u003cmachineguid_urlencoded\u003e\u0026b=\u003c32/64bit\r\n2.样本技术演进\r\n(1).初始植入物的演变\r\n其使用的植入物在前期版本以向PPT文件嵌入多个ole以诱导受害人点击,以及使用可能的水坑攻击,并且使用直接投\r\n递伪装成相关诱饵文件的sfx文档进行投递.在本次捕获的样本中主要涉及到使用恶意宏文档进行投递.不过不排除还\r\n有其他攻击手段的可能性(注意:不是准确结论,仅为部分猜测)\r\n图片55 美人鱼(Infy) APT手法的演进\r\n(2).持久化方式的演进\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 20 of 23\n\n图片56 持久化方式演进\r\n0x03.处置建议\r\n删除文件\r\n%Temp%\\EZUpdate.tmp\r\n%Temp%\\tmp1375\\d948\r\n%Temp%\\tmp1375\\conf3234.dll\r\n%Temp%\\tmp1375\\61Dk5U6TjDL.bmp\r\n%AppData%\\fwupdate.tmp\r\n%AppData%\\tmp6073\\conf4389.dll\r\n%AppData%\\tmp6073\\d488\r\n%Appdata%\\config.xml\r\n%Temp%\\gtsdci32.tmp\r\n%AppData%\\sig.tmp\r\n%AppData%\\dom.tmp\r\n%Temp%\\tempupd6.exe\r\n%Temp%\\sduchxll.tmp\r\n0x04.IOCs\r\nMD5\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 21 of 23\n\n2C111A27D0D9D48E9470264B4C16B472\r\nd497e0332e88341bd5ddbaa326cab977\r\n4381a0c76f2bff772063e6cc6a1ac876\r\nDC14F029EFA635D5922012904E162808\r\n8b8e286f64a4635e12d6d728a5669d51\r\n916e3d4c5835380c99efa802ddb4436d\r\nBE11401B723EC4F20BE8D65C04A8003E\r\n1a46bd6385feae53a6b8aed758e16556\r\nC2\r\nGenerating domains for: 2020-10-20 17:19:39.397000 - 2020-12-29 17:19:39.397000. Each domain can have .space,\r\n.net,.dynu.net or .top as TLD (top level domain).\r\n1.2020-10-20 17:19:39.397000 - Week Number: 43 e00be33d.space db54a845.space 425df9ff.space 355ac969.space\r\nab3e5cca.space dc396c5c.space 45303de6.space 32370d70.space a28810e1.space d58f2077.space f2b63e96.space\r\n85b10e00.space 1cb85fba.space 6bbf6f2c.space f5dbfa8f.space 82dcca19.space 1bd59ba3.space 6cd2ab35.space\r\nfc6db6a4.space 8b6a8632.space2.2020-10-27 17:19:39.397000 - Week Number: 44 7e6f769e.space 94153e82.space\r\n0d1c6f38.space 7a1b5fae.space e47fca0d.space 9378fa9b.space 0a71ab21.space 7d769bb7.space edc98626.space\r\n9aceb6b0.space f7f92813.space 80fe1885.space 19f7493f.space 6ef079a9.space f094ec0a.space 8793dc9c.space\r\n1e9a8d26.space 699dbdb0.space f922a021.space 8e2590b7.space3.2020-11-03 17:19:39.397000 - Week Number: 45\r\n08aa2c3f.space 35b268a6.space acbb391c.space dbbc098a.space 45d89c29.space 32dfacbf.space abd6fd05.space\r\ndcd1cd93.space 4c6ed002.space 3b69e094.space cb5b6b94.space bc5c5b02.space 25550ab8.space 52523a2e.space\r\ncc36af8d.space bb319f1b.space 2238cea1.space 553ffe37.space c580e3a6.space b287d330.space4.2020-11-10\r\n17:19:39.397000 - Week Number: 46 91a37d85.space 1e9f3b65.space 87966adf.space f0915a49.space 6ef5cfea.space\r\n19f2ff7c.space 80fbaec6.space f7fc9e50.space 674383c1.space 1044b357.space c91dd5cd.space be1ae55b.space\r\n2713b4e1.space 50148477.space ce7011d4.space b9772142.space 207e70f8.space 5779406e.space c7c65dff.space\r\nb0c16d69.space5.2020-11-17 17:19:39.397000 - Week Number: 47 e6a44d13.space 07840a24.space 9e8d5b9e.space\r\ne98a6b08.space 77eefeab.space 00e9ce3d.space 99e09f87.space eee7af11.space 7e58b280.space 095f8216.space\r\nc8dfbffa.space bfd88f6c.space 26d1ded6.space 51d6ee40.space cfb27be3.space b8b54b75.space 21bc1acf.space\r\n56bb2a59.space c60437c8.space b103075e.space6.2020-11-24 17:19:39.397000 - Week Number: 48 761b5082.space\r\n801c16eb.space 19154751.space 6e1277c7.space f076e264.space 8771d2f2.space 1e788348.space 697fb3de.space\r\nf9c0ae4f.space 8ec79ed9.space c383f8c7.space b484c851.space 2d8d99eb.space 5a8aa97d.space c4ee3cde.space\r\nb3e90c48.space 2ae05df2.space 5de76d64.space cd5870f5.space ba5f4063.space7.2020-12-01 17:19:39.397000 - Week\r\nNumber: 49 035ade4d.space 8bb28844.space 12bbd9fe.space 65bce968.space fbd87ccb.space 8cdf4c5d.space\r\n15d61de7.space 62d12d71.space f26e30e0.space 85690076.space 85e1e820.space f2e6d8b6.space 6bef890c.space\r\n1ce8b99a.space 828c2c39.space f58b1caf.space 6c824d15.space 1b857d83.space 8b3a6012.space fc3d5084.space8.2020-\r\n12-08 17:19:39.397000 - Week Number: 50 639d57a8.space 5bb2593a.space c2bb0880.space b5bc3816.space\r\n2bd8adb5.space 5cdf9d23.space c5d6cc99.space b2d1fc0f.space 226ee19e.space 5569d108.space 328cb4ca.space\r\n458b845c.space dc82d5e6.space ab85e570.space 35e170d3.space 42e64045.space dbef11ff.space ace82169.space\r\n3c573cf8.space 4b500c6e.space9.2020-12-15 17:19:39.397000 - Week Number: 51 149a673e.space 42a9687b.space\r\ndba039c1.space aca70957.space 32c39cf4.space 45c4ac62.space dccdfdd8.space abcacd4e.space 3b75d0df.space\r\n4c72e049.space 334edefd.space 4449ee6b.space dd40bfd1.space aa478f47.space 34231ae4.space 43242a72.space\r\nda2d7bc8.space ad2a4b5e.space 3d9556cf.space 4a926659.space10.2020-12-22 17:19:39.397000 - Week Number: 52\r\n8d933684.space 69843bb8.space f08d6a02.space 878a5a94.space 19eecf37.space 6ee9ffa1.space f7e0ae1b.space\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 22 of 23\n\n80e79e8d.space 1058831c.space 675fb38a.space 310860a4.space 460f5032.space df060188.space a801311e.space\r\n3665a4bd.space 4162942b.space d86bc591.space af6cf507.space 3fd3e896.space 48d4d800.space\r\n0x05.附录\r\n参考链接:\r\nhttps://www.intezer.com/blog/research/prince-of-persia-the-sands-of-foudre/\r\nhttps://researchcenter.paloaltonetworks.com/2017/08/unit42-prince-persia-ride-lightning-infy-returns-foudre/\r\nhttp://researchcenter.paloaltonetworks.com/2016/06/unit42-prince-of-persia-game-over/\r\nhttp://researchcenter.paloaltonetworks.com/2016/05/prince-of-persia-infy-malware-active-in-decade-of-targeted-attacks/\r\nhttps://unit42.paloaltonetworks.com/prince-of-persia-infy-malware-active-in-decade-of-targeted-attacks/\r\nhttps://www.freebuf.com/articles/network/105726.html\r\n域名生成脚本\r\n基于Esmid idrizovic的脚本进行修改:\r\nimport binasciiimport datetimeamp = 0xffffffffdef getHostCRC(input): crc = binascii.crc32(input) \u0026 0xffffffff host\r\n0x06.结语\r\n美人鱼(Infy) APT组织是一个活动持续将近10年的组织,其水平不高也不算低.其不断改变手法以逃避安全人员的追\r\n查,同时该组织在其恶意样本的编写中逐渐尝试减少特征,并且在编写过程中使用寄存器传递参数的方式加大安全分\r\n析人员分析的难度以及归属的难度.并且很有意思的一点,该组织喜欢在其样本中添加最近新闻中的信息,目的不明,猜\r\n测可能旨在标记时间\r\n本文参与 腾讯云自媒体同步曝光计划，分享自微信公众号。\r\n原始发表：2020-10-29，如有侵权请联系 cloudcommunity@tencent.com 删除\r\nSource: https://cloud.tencent.com/developer/article/1738806\r\nhttps://cloud.tencent.com/developer/article/1738806\r\nPage 23 of 23",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cloud.tencent.com/developer/article/1738806"
	],
	"report_names": [
		"1738806"
	],
	"threat_actors": [
		{
			"id": "f763fd1f-f697-40eb-a082-df6fd3d13cb1",
			"created_at": "2023-01-06T13:46:38.561288Z",
			"updated_at": "2026-04-10T02:00:03.024326Z",
			"deleted_at": null,
			"main_name": "Infy",
			"aliases": [
				"Operation Mermaid",
				"Prince of Persia",
				"Foudre"
			],
			"source_name": "MISPGALAXY:Infy",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "59c9f31b-e032-44b9-bf3b-4f2cb3d17e39",
			"created_at": "2022-10-25T16:07:23.734244Z",
			"updated_at": "2026-04-10T02:00:04.731031Z",
			"deleted_at": null,
			"main_name": "Infy",
			"aliases": [
				"APT-C-07",
				"Infy",
				"Operation Mermaid",
				"Prince of Persia"
			],
			"source_name": "ETDA:Infy",
			"tools": [
				"Foudre",
				"Infy",
				"Tonnerre"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434722,
	"ts_updated_at": 1775792182,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/4949610fadf2ddbd045ab9c1e2e940aec6cd3079.pdf",
		"text": "https://archive.orkl.eu/4949610fadf2ddbd045ab9c1e2e940aec6cd3079.txt",
		"img": "https://archive.orkl.eu/4949610fadf2ddbd045ab9c1e2e940aec6cd3079.jpg"
	}
}