{
	"id": "8eb6e917-1198-45f2-a135-034679e3cc7c",
	"created_at": "2026-04-06T00:19:46.443835Z",
	"updated_at": "2026-04-10T13:12:43.148575Z",
	"deleted_at": null,
	"sha1_hash": "800876142db752d7cdb495e4310c841dd55e126d",
	"title": "奇安信威胁情报中心",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2640623,
	"plain_text": "奇安信威胁情报中心\r\nArchived: 2026-04-02 10:56:14 UTC\r\n背景\r\n中东问题是自第二次世界大战结束以后延续至今时间最长的一个地区热点问题。中东地区重要的战略地\r\n位和战略资源牵动着许多国家的利益。美伊问题，无疑是目前中东最大的问题。\r\n随着美国总统特朗普于2018年5月宣布退出“伊朗核协议”，并逐渐恢复美国对伊全面制裁以来，美伊两国\r\n及美国在中东地区盟友间的摩擦也在进一步升级。而此后美国与伊朗之间互相发起的网络战争，无疑对\r\n整个网络世界添加不稳定性。\r\n而近日，奇安信病毒响应中心在日常的样本运营过程中发现了一起极具诱饵性的安卓APK攻击，经过研\r\n判发现，其攻击目标为伊朗，此外，通过同源分析发现，该样本关联了一系列攻击活动，鉴于攻击样本\r\n均与伊朗文化相关，因此在将该活动命名为Cyrus(居鲁士 )活动后，将其发布于世。\r\n诱饵分析\r\n。(!居鲁士大帝!”(کوروش بزرگ”此次发现的APK样本名称为\r\n居鲁士大帝是波斯帝国创建者、阿契美尼德王朝第一位国王（前549年—前529年在位）。在他的统治\r\n下，帝国不仅囊括了古代近东的所有文明国家，还包括了大部分西南亚，和一部分中亚及高加索地区。\r\n他的帝国从西边的赫勒斯滂到东边的印度河，是前所未有的最大帝国。\r\n随着美国增兵沙特，伊朗局势又将持续升温。近日发现针对伊朗的移动APP攻击，无疑与伊朗局势密切相\r\n关。\r\n!کوروش بزرگ 文件名称\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 1 of 15\n\n!کوروش بزرگ 软件名称\r\n软件名称翻译 居鲁士大帝！\r\n软件包名 ir.cheshmac.CyrustheGreat\r\nMD5 F05D8588CF2E8BE9FA6CCAC39A0F7311\r\n安装图标\r\n样本运行截图：\r\n样本分析\r\n样本行为描述\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 2 of 15\n\n此次发现的针对伊朗的恶意样本，通过仿冒“بزرگ کوروش)“!居鲁士大帝！)诱骗用户安装使用，APP运行\r\n后，通过展示居鲁士大帝生平事迹，使用户放心使用。\r\n恶意样本运行后，通过后台服务端下发20多种控制指令，获取用户手机信息。其恶意操作有：获取Log、\r\n获取通讯录、获取手机文件、获取用户手机短信、获取地理位置、获取手机已安装的APP、获取通话记\r\n录、拍照等。\r\n远控指令列表：\r\n详细代码分析\r\n内置html文件，将“居鲁士大帝”生平事迹进行存放，用户打开APP后加以展示。\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 3 of 15\n\n通过服务端（www.firmwaresystemupdate.com）下发远控指令，对用户手机进行后台操控，获取用户手机\r\n信息：\r\n获取控制指令：\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 4 of 15\n\n远控指令：\r\n指令“Set”修改设置：\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 5 of 15\n\n指令“Get”“AllLog”获取Log：\r\n指令“Get”“AllContact”获取通讯录：\r\n指令“Get”“AllFile”获取手机文件：\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 6 of 15\n\n指令“Get”“AllSms”获取短信：\r\n指令“Get”“AllCall”获取所有同话记录：\r\n指令“Get”“AllApp”获取所有已安装的APP：\r\n指令“Get”“AllBrowser”获取所有浏览器记录：\r\n指令“Get”“AllAccount”读取用户账户：\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 7 of 15\n\n指令“Get”“AllSetting”获取设置信息：\r\n指令“Get”“Location”获取GPS：\r\n指令“Get”“HardwareInfo”获取设备固件信息：\r\n指令“Get”“File”上传获取到的信息：\r\n上传服务器：www.firmwaresystemupdate.com\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 8 of 15\n\n指令“Take\"”“Audio”录音：\r\n指令“Take\"”“Photo”拍照：\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 9 of 15\n\n指令“Take\"”“Video”拍照：\r\n指令“Take\"”“RecordCall”通话录音：\r\n指令“Delete\"”“SMS”删除用户短信：\r\n指令“Delete\"”“Call”删除同话记录：\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 10 of 15\n\n指令“Delete\"”“File”删除同话记录：\r\n指令“Reset\"”“AllCommand”重置命令：\r\n同源分析\r\n通过“بزرگ کوروش)“!居鲁士大帝！)，我们发现了一批类似的样本，其都是通过仿冒与伊朗有关的APP，针\r\n对伊朗进行攻击并收集信息。仿冒的APP名字都很符合伊朗的文化，以及伊朗用户感兴趣的名字。翻译过\r\n来的APP名称例如：“斋月的照片”、“伊朗女子忍者”、“奥马尔·法鲁克（Sallabi）2”、“费雷顿·莫希里”\r\n等。\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 11 of 15\n\n而且这批针对伊朗的APP，代码结构都一样，出现的时间也相近：\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 12 of 15\n\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 13 of 15\n\n总结\r\n伊朗近期无论是作为攻击方或是防守方，均在网络战争中大放异彩，而本篇中针对伊朗的攻击活动，无\r\n论从人文，地域等伊朗元素作为诱饵，亦或是在诱饵中对整个伊朗文化的理解透彻之程度，都可以体现\r\n出幕后攻击者对此次攻击行动的筹备之久，并且攻击团伙中必定存在对伊朗文化了解极其透彻之人。\r\n而对文化的理解透彻，将决定诱饵的制作精细程度，也同样将影响所有后续的攻击活动，这一点，与以\r\n前的战争中的，“深入敌营”的战争思想有异曲同工之妙。\r\n而奇安信病毒响应中心，将持续对最新的恶意安卓APK攻击活动进行及时分析与更新，目前奇安信全系\r\n产品均可对此攻击活动进行报警。\r\nIOC\r\nMD5：\r\n05EAA04BC27DB3AF51215D68A1D32D05\r\n4134CB97B2446654347AB2E1CA2C050F\r\n25A65CBFC9D34F5367ACB5EA2A32E3EF\r\n3C0011DD7F6C9474CDA5FFD52415D4A8\r\n43BD113A0952172BCBA57055F5A707BB\r\n34BE434996B9BC19112F875F0A3711D2\r\n26F655D19358BA5C124BBB705C3778A7\r\nF05D8588CF2E8BE9FA6CCAC39A0F7311\r\n12BEA094932DA9FA51853740FCAA68A1\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 14 of 15\n\n9D3CA081E7FE27E44707D8634C22FC95\r\nD199C202BEB4380E2F675E93C36CF0F4\r\nE94ED62A28A9FD6F714C3E29B3636788\r\n86DA3A7378E17B51BA83BA3333E86A32\r\n2A0394DA1639AAB6B9FEA26C93EEBE07\r\nCC88F21406EAEED70A890F53E57C98B6\r\nFBD0AFE5BD3D0D61FEB21680B304D7AE\r\n4567824A45A818BC389D7EEAE3C7B678\r\n155316526FF476698494E90EFC1127BC\r\nAC32FFAA379AED78DCC11EA74FBDFCFE\r\nC2地址：\r\nwww.firmwaresystemupdate.com\r\npush.lohefeshordeh.net\r\nwww.ychatonline.net\r\nwww.appsoftupdate.com\r\n46.4.143.130\r\n198.50.220.44:80\r\nSource: https://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nhttps://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/\r\nPage 15 of 15",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"ETDA",
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://ti.qianxin.com/blog/articles/surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack/"
	],
	"report_names": [
		"surprised-by-cyrus-the-great-disclosure-against-Iran-cyrus-attack"
	],
	"threat_actors": [],
	"ts_created_at": 1775434786,
	"ts_updated_at": 1775826763,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/800876142db752d7cdb495e4310c841dd55e126d.pdf",
		"text": "https://archive.orkl.eu/800876142db752d7cdb495e4310c841dd55e126d.txt",
		"img": "https://archive.orkl.eu/800876142db752d7cdb495e4310c841dd55e126d.jpg"
	}
}