مرکز تحقیقاتی APT IRAN

♣️هر زمان احساس کنیم فرد یا نهادی چه شخصی و چه دولتی به‌دلیل منافع شخصی قصد دارد اطلاعات مردم را بفروشد یا از آن سوءاستفاده کند، به‌ویژه اطلاعات مردم عادی که هیچ‌گونه ارتباطی با بازی‌های سیاسی، نظامی یا منافع جناحی ندارند، بدون کوچک‌ترین تعارفی به شدیدترین شکل ممکن با آن برخورد خواهیم کرد.
تأکید می‌کنیم که ما وابسته به هیچ جریان سیاسی، حاکمیتی یا جناحی نیستیم و نخواهیم بود. همان‌طور که از ابتدا هم موضع ما روشن بوده، حساسیت ما صرفاً نسبت به افشای اطلاعات شخصی مردم بی‌گناه است—مردمی که هیچ نقشی در دعواهای سیاسی، فسادهای پشت‌پرده یا رقابت‌های قدرت ندارند و صرفاً قربانی شده‌اند.
در حال حاضر نیز پیگیر افرادی هستیم که اقدام به افشای پرونده‌های شخصی، از جمله مواردی همچون تجاوز، در فضای مجازی کرده‌اند. این موضوع را رها نخواهیم کرد تا زمانی که شخص خاطی و تمام کسانی که تحت هر عنوانی—از سیاست و اقتصاد گرفته تا افشای فساد و هر اسم دیگری—سعی در افشای اطلاعات مردم عادی داشته‌اند، پاسخ‌گو شوند.
ما در این مسیر نه وابسته‌ایم و نه مماشات می‌کنیم. و کاری خواهیم کرد که تاوان سنگینی برای بازی با امنیت و حیثیت مردم پس بدهید. شک نکنید روزی خطایی از شما سر خواهد زد ، درست مانند آنچه در تصویر بالا رخ داد و آن روز خیلی دور نیست. همان روز، خواهید فهمید که خیانت به مردم، به اسم آزادی‌خواهی یا افشاگری، چه بهایی دارد.
شما باید درک می‌کردید که مردم عادی هیچ ارتباطی با هیچ بازی سیاسی، جناحی یا حاکمیتی ندارند؛ این مردم بی‌گناه‌اند. اما شما با سوءاستفاده از عنوان «آزادی‌خواه» نه به دولت ضربه زدید، نه به حکومت و نه حتی به ساختار قدرت—قربانی اصلی جنایت‌های سایبری شما، مردم ایران بودند. و در نهایت، دود این رفتارها مستقیماً به چشم خودتان خواهد رفت.
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

👥در شرایطی که کشور با مسائل مختلف سیاسی، اقتصادی و اجتماعی دست‌و‌پنجه نرم می‌کند، ضروری است که حمایت از هم‌میهنانی که با بیماری‌های گوناگون دست به گریبان‌اند را فراموش نکنیم.
در ابتدا قصد داشتیم برای این اقدام انسان‌دوستانه، یک آدرس کیف پول مشخص معرفی کنیم، اما با توجه به حساسیت‌های موجود و به‌منظور جلوگیری از هرگونه سوءتفاهم یا حاشیه، از تمامی کاربران، فارغ از هر نوع مذهب، نژاد یا باور، دعوت به عمل می‌آوریم تا در این حرکت شریف مشارکت کرده و در مسیر کمک به همنوعان خود گام بردارند.
مهم نیست چقدر توان حمایت مالی دارید؛ آن‌چه اهمیت دارد این است که نسبت به رنج دیگران بی‌تفاوت نباشیم و با نگاهی انسانی، در کنار هم بایستیم.
1-مؤسسه خیریه محک و مؤسسه امدادگران عاشورا – حمایت از کودکان مبتلا به سرطان
https://mahak-charity.org
https://emdadgaran.ir
2- انجمن خیریه خانه ای‌بی – حمایت از بیماران پروانه‌ای (EB)
https://ebhome.ngo
3-انجمن ام‌اس ایران – حمایت از بیماران مبتلا به ام‌اس
https://iranms.org/
4-انجمن خیریه حمایت از بیماران کلیوی ایران – حمایت از بیماران دیالیزی و پیوند کلیه
https://www.irankf.com
5-کانون هموفیلی ایران – حمایت از بیماران مبتلا به هموفیلی
https://hemophilia.org.ir
6-انجمن دیابت گابریک – حمایت از بیماران دیابتی، به‌ویژه دیابت نوع 1
https://gabric.ir
7-بنیاد امور بیماری‌های خاص – حمایت از بیماران خاص و صعب‌العلاج (دیالیز، تالاسمی، ام‌اس، پیوند عضو و...)
https://www.cffsd.org

♣️CVE-2025-21297 : Windows Remote Desktop Services (RD Gateway) - Remote Code Execution
🟢Blog/POC : https://v-v.space/2025/05/15/CVE-2025-21297
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️حذف Exploit-DB از لیست منابع جمع‌آوری گسترده اکسپلویت‌ها
برخی از اکسپلویت‌هایی که توسط ابزارهای ما دریافت و برای آن‌ها تست‌های خودکار تنظیم می‌شد، از سایت Exploit-DB دانلود می‌شدند؛ چرا که این پایگاه داده، یکی از معتبرترین منابع ثبت اکسپلویت در سطح جهانی به شمار می‌رفت.
با این حال، اخیراً این سایت کاهش قابل توجهی در اعتبار خود داشته و اقدام به ثبت اکسپلویت‌هایی می‌کند که فاقد خروجی صحیح هستند. از این رو، ما تصمیم گرفتیم این سایت را از لیست منابع مورد استفاده ابزارهای خود حذف کنیم. از این تاریخ به بعد، هیچ یک از اکسپلویت‌های ثبت‌شده در این سایت را تأیید یا رد نمی‌کنیم، مگر اینکه تاریخ ثبت آن‌ها قبل از تاریخ ثبت اکسپلویت‌های مشابه در سایر منابع معتبر مانند GitHub باشد. علاوه بر این، هر اکسپلویت باید دارای ویدئویی از نحوه تست و خروجی آن، یا حداقل Proof of Concept (PoC) قابل اجرا و معتبر باشد.
لازم به ذکر است که در گذشته، پژوهشگران ما نیز در این سایت اقدام به ثبت اکسپلویت می‌کردند. افرادی که پیش‌تر در این پایگاه داده فعالیت داشتند، به خوبی آگاه‌اند که روند تأیید هر اکسپلویت بسیار دقیق و سخت‌گیرانه بود، زیرا تیم پشتیبانی Exploit-DB تمامی موارد را به‌صورت دستی بررسی کرده و سپس ثبت می‌کرد. اما در سال ۲۰۲۵، اکثر اکسپلویت‌های این سایت به نسخه‌های کپی، جعلی، یا فاقد PoC معتبر تبدیل شده‌اند و این پایگاه بدون انجام تست‌های لازم، اقدام به ثبت آن‌ها می‌کند.
از این رو، توصیه می‌کنیم کاربران برای دریافت و بررسی اکسپلویت‌های معتبر، از سایر منابع شناخته‌شده و مورد اعتماد استفاده کنند.
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️این دوستانی که در مقابل دوربین‌ها اعلام می‌کنند که امنیت اطلاعات مردم برایشان بسیار مهم است و قطعاً پیگیری‌های لازم را انجام خواهند داد، بیایید اینجا صادقانه صحبت کنیم، ما یک پیام ارسال کرده‌ایم و چند پیگیری انجام داده‌ایم تا ببینیم واقعاً چقدر شما پیگیری می‌کنید، شما که میلیاردها تومان به جیب می‌زنید، اما وظایف خود را انجام نمی‌دهید. ما نمی‌خواهیم وارد جزئیات نفوذ و یا نشت‌های اطلاعاتی شویم تا فردا بهانه‌ای برای برخورد با ما نباشد.
اما واقعیت این است که ما پیگیر شدیم تا ببینیم آیا شما به دنبال شناسایی افرادی هستید که ممکن است اطلاعات مردم را به سرقت ببرند. و این جواب جالبی بود که از ارائه‌دهنده VPN دریافت کردیم! خیر
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

🔥wsrp4echo - 0day Chain Vulnerability
⚰️Blog : Medium
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

🔥CVE-2023-22047 : Oracle PeopleSoft 'wsrp-url' $versions - Local file inclusion & SSRF 2 Unauthenticated Remote Code Execution
🟢POC : https://github.com/tuo4n8/CVE-2023-22047
🔴Zoomeye : (iconhash="2b86aa50c3a66bb77ff07c42cc051dcc") +4M
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️CVE-2025-2825 : CrushFTP 'lookup_user_pass' $versions - Authentication Bypass
🟢POC : https://projectdiscovery.io/blog/crushftp-authentication-bypass
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️CVE-2025-29927 : Next.js is a React framework 'x-middleware-subrequest' $versions - Authorization Bypass
🟢POC : https://github.com/aydinnyunus/CVE-2025-29927
🚬Blog : https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

💥نسخه بتا از ربات جستجوی اطلاعات در تلگرام راه‌اندازی شد. از این پس می‌توانید در کمترین زمان ممکن، بین 300 هزار دیتابیس لو رفته جستجو کنید.
🔥با گذر زمان، حجم این اطلاعات افزایش خواهد یافت و پیش‌بینی می‌شود که تا سال آینده به بیش از 1 پتابایت برسد. این افزایش حجم، به طور طبیعی هزینه‌ها را نیز بالا خواهد برد.بنابراین، زمانی که در نسخه بتا از این ربات استفاده می‌کنید، علاوه بر برخورداری از تخفیف برای نسخه‌های بعدی، می‌توانید با قیمت ثابت نسخه بتا، همچنان در نسخه‌های بعدی از این ربات استفاده کنید.
✔️اشتراک ماهانه برای استفاده از این ربات 200 دلار خواهد بود.
✔️با توجه به تعداد درخواست‌های کاربران، هر کاربر تنها قادر خواهد بود در طول روز 2 جستجو انجام دهد و 4 فایل دریافت کند.
💭این هزینه نسبت به قبل برای شما بسیار مقرون به صرفه‌تر خواهد بود، چرا که قبلاً برای هر فایل به صورت جداگانه باید هزینه می‌کردید، اما حالا می‌توانید فایل‌های دلخواه خود را با کمترین هزینه دانلود کنید.
❗️همچنین باید اشاره کنیم که هیچ‌گونه اطلاعات تکراری برای شما ارسال نخواهد شد و تمامی فایل‌ها بر اساس هش یکتا جستجو خواهند شد. در نتیجه، حتی اگر داده‌های تکراری وجود داشته باشد، شما آن‌ها را در نتیجه جستجو مشاهده نخواهید کرد.
🤖BOT : @Search_DBLeakbot
🛸برای خرید اشتراک ماهانه به این ربات مراجعه کنید
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️سرویس جست‌وجو و استعلام اطلاعات از آرشیو مذکور، تا سال ۲۰۲۵ با کمترین هزینه به زودی در دسترس شما خواهد بود.
The search and inquiry service for information from this archive will soon be available at the lowest cost until 2025
Сервис поиска и запроса информации из данного архива будет доступен по минимальной стоимости до 2025 года
从该档案中查询和获取信息的服务将在 2025 年之前以最低费用很快提供
➡️Buy : @DBMSLivebot
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️شاید شما هم در یک زمانی نیاز داشته باشید که اطلاعات روی هارد خود را به‌طور کامل غیرقابل بازیابی کنید. نرم‌افزار Eraser یک نرم‌افزار رایگان و منبع باز است که از الگوریتم‌هایی مانند Gutmann و DoD 5220.22-M استفاده می‌کند. این الگوریتم‌ها از قوی‌ترین روش‌های حذف داده‌ها به شمار می‌آیند.
به دلیل ۳۵ مرحله‌ای که در الگوریتم Gutmann وجود دارد و همچنین در الگوریتم DoD 5220.22-M که با نوشتن صفرها، یک‌ها و داده‌های تصادفی، داده‌ها را به‌طور کامل پوشش می‌دهد امکان بازیابی اطلاعات حذف‌شده به‌شدت کاهش می‌یابد. حتی با استفاده از ابزارهای پیشرفته بازیابی داده، شانس بازیابی این اطلاعات حذف‌شده با این الگوریتم‌ها بسیار کم است.
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️آرشیو اطلاعات از ۲۰۱۸ تا امروز – بزرگ‌ترین پایگاه داده‌ در دسترس شما
💻ما از سال ۲۰۱۸ فرآیند آرشیو و ذخیره‌سازی اطلاعات را آغاز کردیم و طی این سال‌ها، حجم عظیمی از داده‌ها را در بخش‌های مختلف جمع‌آوری و نگهداری کرده‌ایم. اکنون، در سال ۲۰۲۵، بیش از ۲۵۰ هزار فایل در آرشیو ما ذخیره شده که حجم آن حدود ۵۰۰ ترابایت است.
🌐با توجه به سرعت بالای این فرآیند، پیش‌بینی ما این است که با اضافه شدن Cloud خصوصی، این حجم تا سال آینده به بیش از ۱ پتابایت اطلاعات فشرده‌شده برسد. البته، این مقدار بدون احتساب استخراج و بازیابی اطلاعات از این فایل‌ها است؛ به همین دلیل، به دلیل محدودیت فضای ذخیره‌سازی، بیشتر داده‌ها را به‌صورت فشرده نگه می‌داریم.
🗂آرشیو ما شامل چه اطلاعاتی است؟
🧅 دیتابیس انجمن‌ها و فروشندگان از سال ۲۰۱۸ تا امروز، شامل اطلاعات بیش از ۴۰ انجمن(از دسترس خارج شده و یا در دسترس)
🧅 دیتابیس کانال‌هایی که در زمینه نشت اطلاعات فعالیت می‌کردند و اکنون از دسترس خارج شده‌اند.
🧅 دیتابیس گروه‌های امنیتی که برخی از آن‌ها دستگیر شده‌اند و کانال‌هایشان مسدود شده یا همچنان فعال هستند.
🧅 دیتابیس کانال‌های آرشیو اطلاعات سایر منابع مشابه که به مجموعه ما افزوده شده‌اند.
🧅 سورس‌ دیتا باج‌افزارهای شناخته‌شده‌ای همچون لاک‌ بیت و دیگر باج افزار های معروف.
🧅 دیتابیس‌های بزرگ و آنلاک‌شده که قبلاً رمزگشایی نشده بودند.
🔘دسترسی به اطلاعات شما
🔄در حال حاضر، یکی از بزرگ‌ترین پایگاه‌های داده‌ی جهان توسط ما مدیریت می‌شود و به‌زودی، این اطلاعات در دسترس شما قرار خواهد گرفت.
⬇️آیا مدیر یک کانال، انجمن، گروه یا وب‌سایتی هستید که اکنون به هیچ نسخه‌ی پشتیبانی از اطلاعات خود دسترسی ندارید؟
نگران نباشید! اگر داده‌های شما از سال ۲۰۱۸ به بعد باشند، احتمال بالایی وجود دارد که نسخه‌ای از آن‌ها در آرشیو ما موجود باشد و بتوانید آن‌ها را بازیابی کنید.
🔒TOX : C1D6CB697FF6C1686F5C11E6D47C09E1FD0557BC52FE7A58172E87D1C842052CC45C5E975243
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️CVE-2025-21333 : Windows Hyper-V NT Kernel Integration (VSP) 'IOP_MC_BUFFER_ENTRY' - heap-based buffer overflow 2 Privilege Escalation
🟢POC : https://github.com/MrAle98/CVE-2025-21333-POC
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️نگرانی‌های جدی درباره ورود قطعات مشکوک به خاک ایران
در روزهای ۱۷ و ۱۸ سپتامبر ۲۰۲۴، هزاران دستگاه پیجر و واکی‌تاکی مورد استفاده حزب‌الله لبنان در نقاط مختلف لبنان و سوریه به‌طور همزمان منفجر شدند. این انفجارها منجر به کشته شدن حداقل ۴۲ نفر، از جمله ۱۲ غیرنظامی، و زخمی شدن بیش از ۳۵۰۰ نفر شد.
این پروژه توسط سرویس اطلاعاتی اسرائیل (موساد) حدود ۱۴ سال پیش آغاز شده بود و شامل جاسازی مواد منفجره پنتریت (PETN) در باتری‌های پیجرهای مورد استفاده حزب‌الله بود.
نتایج برخی تحقیقات ما نگرانی‌هایی جدی را به همراه داشته است. حمله به جایگاه‌های سوخت را به‌خاطر دارید؟ در همان زمان هشدار دادیم که این حملات ممکن است مجدداً رخ دهد. این هشدار بر اساس حدس و گمان نبود، بلکه مبتنی بر شواهد موجود بود.
شاید با کلاهبرداری پانزی آشنا باشید؛ در این نوع کلاهبرداری، کلاهبردار پس از مدتی تمام ردها و سایت خود را پاک کرده و ناپدید می‌شود. در جریان تحقیقات، دریافتیم که شرکت، مجموعه یا سایت مونتاژ کننده این قطعات، هیچ صاحب مشخصی ندارد و تمام اطلاعات مربوطه پاک شده است. این وضعیت شباهت عجیبی به کلاهبرداری پانزی دارد.
اکنون، تکه‌های این پازل به‌تدریج در کنار هم قرار می‌گیرند و شواهد نشان می‌دهند که پروژه‌ای بسیار وسیع‌تر توسط کشورهای خارجی علیه ایران در حال اجراست. این مسئله، ما را نسبت به خطرات جدی برای هم‌وطنان و آسیب به زیرساخت‌های حیاتی کشور به‌شدت نگران کرده است.
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️تمامی فایل‌های بکاپ در کانال تلگرامی Black Market آپلود شدند و از این پس شما می‌توانید فقط از طریق لینک زیر به این محتوا دسترسی داشته باشید. همچنین این فایل‌ها بروزرسانی خواهند شد و موارد دیگر هم به آنها اضافه می‌شود.
Все резервные копии были загружены в канал Telegram Black Market, и с этого момента вы можете получить доступ к этим материалам только по следующей ссылке. Также эти файлы будут обновляться, и к ним будут добавляться другие элементы.
所有备份文件已上传到Telegram频道Black Market，从现在开始，您只能通过以下链接访问这些内容。此外，这些文件将会被更新，并且会添加其他内容。
https://t.me/c/2254860811/492
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️متاسفانه مطلع شدیم که مخازن ما در گیت‌هاب توسط MDSec Consulting ریپورت شده و طبق قوانین DMCA (قانون کپی‌رایت دیجیتال)، تمامی مخازن و فورک‌های مرتبط با آن محتوا باید از دسترس خارج شوند. این شرکت ادعا کرده که محتواهای موجود در مخازن ما نقض حقوق کپی‌رایت آن‌ها هستند و شامل مطالب خاصی است که توسط آن‌ها به فروش می‌رسد.
https://github.com/github/dmca/blob/master/2025/02/2025-02-20-nighthawkc2.md
🔴ما در حال بررسی این موضوع هستیم و در صورتی که مجبور به حذف یا تغییر چیزی باشیم، به سرعت اطلاع‌رسانی خواهیم کرد.
🔴ما نسبت به این موضوع بی‌تفاوت نخواهیم نشست و قطعاً با این اشتباه MDSec Consulting برخورد لازم را خواهیم داشت. حقوق ما برای استفاده و اشتراک‌گذاری این محتوا کاملاً محفوظ است و هیچ‌گونه تعرضی را تحمل نخواهیم کرد.
🟢بزودی راه‌حلی مناسب برای دسترسی به فایل‌ها ارائه خواهیم کرد و شما را در جریان قرار خواهیم داد. همچنین از افرادی که این C2 را در توییتر(X) به اشتراک گذاشتند سپاسگزاریم.
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️بررسی Proof Of Concept مربوط به آسیب پذیری CVE-2025-21420 در Windows Disk Cleanup Tool
در این تست بررسی آسیب‌پذیری DLL Sideloading در ویندوز با استفاده از برنامه cleanmgr.exe و مقایسه آن با DLL Injection انجام شد. هدف اصلی بررسی این بود که آیا تکنیک DLL Sideloading که در توضیحات محققین ذکر شده بود، می‌تواند در فرآیند cleanmgr.exe کاربرد داشته باشد یا خیر. ابتدا، DLL مورد نظر تهیه و نام DLL به dokannp1.dll تغییر یافت و فایل DLL در مسیر C:\Windows\System32 قرار گرفت. طبق توضیحات محققین، این DLL باید با استفاده از DLL Sideloading به فرآیند cleanmgr.exe تزریق می‌شد. پس از آزمایش‌های متعدد با استفاده از نام دقیق DLL و مسیر صحیح، برنامه cleanmgr.exe موفق به بارگذاری DLL نشد و DLL Sideloading موفق نبود. پس از آن، DLL Injection به فرآیند cleanmgr.exe انجام شد و با استفاده از کد DLL Injection، DLL به درستی وارد فرآیند cleanmgr.exe شد. پس از تزریق DLL به فرآیند، کد داخل DLL اجرا شد و پیغام "Hello World" نمایش داده شد و Command Prompt باز شد. این نشان‌دهنده این است که DLL Injection به درستی عمل کرده است و کد در فرآیند تزریق شده اجرا شده است. محقق به‌وضوح اشاره کرده است که هنوز آزمایش نکرده‌اند که آیا فقط نام دوم DLL کافی است یا اینکه نام اول کمی متفاوت نیز در این فرآیند استفاده می‌شود. این اشاره ممکن است نشان‌دهنده تفاوت‌های جزئی در نام‌گذاری DLL‌ها باشد که ممکن است در بارگذاری صحیح DLL تأثیرگذار باشد.
در حالی که DLL Sideloading به درستی عمل نکرد، می‌توان گفت که این تکنیک در واقع نیاز به شرایط خاصی دارد که ممکن است باعث شود برنامه‌ای مانند cleanmgr.exe از DLL‌های مخرب جلوگیری کند. علت این عدم موفقیت ممکن است به دلیل نحوه بارگذاری DLL‌ها در برنامه و سایر موارد باشد . که مانع از بارگذاری DLL‌های ناشناخته می‌شود با این حال، DLL Injection به عنوان یک تکنیک جایگزین موفق به وارد کردن کد به فرآیند cleanmgr.exe شد و این نشان می‌دهد که DLL Injection می‌تواند ابزاری مؤثر برای تزریق کد به فرآیندهای در حال اجرا باشد حتی اگر DLL Sideloading موفق نشود.
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN

♣️CVE-2025-21420 : Windows Disk Cleanup Tool - Privilege Escalation
🟢POC : https://github.com/Network-Sec/CVE-2025-21420-PoC
✅Verify : N
📱'https://t.me/addlist/7MAZa-vnZclhYzAx' rel='nofollow'>@APTIRAN