MiniFast Backdoor

كثفت الجهة الفاعلة للتهديد المدعومة من الدولة الإيرانية والمعروفة باسم Nimbus Manticore المرتبطة بالحرس الثوري الإسلامي، والتي يتم تتبعها أيضًا باسم Screening Serpens وUNC1549، حملاتها الإلكترونية ضد منظمات في الولايات المتحدة وأوروبا والشرق الأوسط في أعقاب الضربات الأمريكية الإسرائيلية المشتركة على إيران في فبراير 2026. استهدفت المجموعة شركات في صناعات الطيران والبرمجيات باستخدام تقنيات اختراق متطورة بشكل متزايد وأساليب توصيل البرامج الضارة.

حدد باحثو الأمن السيبراني عدة تغييرات تشغيلية تميز الحملات الأخيرة عن الحملات السابقة. تشمل هذه التغييرات إدخال باب خلفي جديد يُدعى MiniFast، وتوسيع نطاق استخدام تقنية اختطاف AppDomain، والتحول الاستراتيجي نحو التلاعب بتحسين محركات البحث (SEO) لإصابة الضحايا عبر بوابات تنزيل برامج وهمية. كما اكتشف المحللون مؤشرات تُشير إلى أن التطوير المدعوم بالذكاء الاصطناعي ربما يكون قد ساهم في تسريع إنشاء البرمجيات الخبيثة.

من عروض العمل الوهمية إلى التلاعب بمحركات البحث

لطالما ركزت مجموعة نيمبوس مانتيكور على استهداف قطاعات الدفاع والطيران والاتصالات عبر حملات تصيد احتيالي ذات طابع مهني، تُعرف عادةً باسم عمليات "وظيفة الأحلام الإيرانية". وتشبه هذه التكتيكات إلى حد كبير عملية "وظيفة الأحلام"، وهي حملة هندسة اجتماعية طويلة الأمد مرتبطة بجهات تهديد كورية شمالية.

بين شهري فبراير وأبريل 2026، نفذت المجموعة ثلاث موجات حملات متميزة دون انقطاع، مما يدل على وتيرة عملياتية عدوانية خلال الصراع الإقليمي.

في فبراير 2026، تلقى موظفون في شركات طيران وبرمجيات في السعودية وأستراليا عروض عمل احتيالية تحتوي على ملفات مضغوطة (ZIP) مُستضافة على منصة OnlyOffice. أدى فتح ملف تنفيذي سليم داخل هذه الملفات إلى اختراق نطاق التطبيق (AppDomain)، مما أدى في النهاية إلى نشر برمجية MiniJunk الخبيثة.

في مارس 2026، اعتمد المهاجم أسلوبًا مشابهًا في الإصابة، لكنه أضاف برنامج تثبيت Zoom مُخترقًا. ويُرجّح أن البرمجية الخبيثة وُزّعت عبر دعوات اجتماعات وهمية، وقامت في النهاية بتثبيت ثغرة MiniFast التي تم اكتشافها حديثًا.

في أبريل 2026، اتبعت شركة Nimbus Manticore استراتيجية مختلفة تمامًا باستخدام تقنيات التلاعب بنتائج محركات البحث. أنشأ القائمون على هذه الاستراتيجية صفحة تنزيل مزيفة تنتحل صفة Oracle SQL Developer، وتلاعبوا بترتيب الموقع في محركات البحث Bing وDuckDuckGo من خلال تسجيل العديد من النطاقات الداعمة المصممة لتعزيز ظهوره.

شكّل هذا أول مثال معروف تخلّت فيه المجموعة عن أساليب التصيّد الاحتيالي التقليدية لصالح توزيع البرمجيات الخبيثة عبر محركات البحث. فبدلاً من استهداف الضحايا مباشرةً عبر رسائل البريد الإلكتروني المضللة، انتظر المهاجمون قيام المطورين وموظفي تقنية المعلومات بالبحث عن البرامج الشائعة الاستخدام عبر الإنترنت قبل إرسال ملفات التثبيت المصابة.

كشف برنامج MiniFast Backdoor عن قدرات تقنية موسعة

يمثل برنامج MiniFast، المعروف أيضاً باسم MiniUpdate، تطوراً كبيراً في ترسانة برامج Nimbus Manticore الخبيثة. ويصف الباحثون هذا البرنامج بأنه باب خلفي متكامل مصمم للوصول المستمر، وتنفيذ الأوامر عن بُعد، وعمليات التجسس طويلة الأمد.

قبل دخول حلقة التحكم الخاصة به، يقوم البرنامج الخبيث بنقل معلومات النظام الأساسية إلى بنية التحكم والسيطرة الخاصة به عبر بروتوكول HTTP. ثم يقوم باستمرار باسترداد التعليمات، وتحميل نتائج التنفيذ، واستخراج الملفات، وتنزيل حمولات إضافية.

يدعم الباب الخلفي مجموعة واسعة من الإمكانيات، بما في ذلك:

• معالجة الملفات وفهرسة الدلائل
• قائمة العمليات وإنهاء العمليات القسري عبر معرّف العملية (PID).
• تنفيذ الأوامر عن بعد عبر cmd.exe
• تحميل ملفات DLL وإنشاء أرشيف ZIP
• المثابرة في إنجاز المهام المجدولة
• تصعيد الامتيازات باستخدام الأمر 'runas'
• فترات إرسال إشارة قابلة للتعديل مع تذبذب قابل للتكوين لإضفاء طابع عشوائي على الاتصالات

لاحظ الباحثون أيضاً مؤشرات على أن أدوات البرمجة المدعومة بالذكاء الاصطناعي ربما ساهمت في تطوير البرمجيات الخبيثة. وتشمل هذه المؤشرات معالجة مطولة للأخطاء، ومنطق برمجة دفاعي مفرط، وتكرار اصطلاحات التسمية، ورسائل حالة مفصلة للغاية على غرار تصحيح الأخطاء، وهيكلة برمجية معيارية غير شائعة في البرمجيات الخبيثة بهذا الحجم والتعقيد.

أدى الصراع إلى تسريع وتوسيع نطاق العمليات السيبرانية

يعتقد خبراء الأمن السيبراني أن هذه الحملات تُظهر تطوراً عملياتياً هاماً لجماعة نيمبوس مانتيكور. فبدلاً من التباطؤ خلال الصراع الجيوسياسي النشط، وسّعت الجماعة نطاق أنشطتها وزادت من تعقيدها.

يشير الانتشار السريع لثغرة أمنية جديدة في خضم العمليات الجارية إلى تسارع دورات تطوير البرمجيات الخبيثة، والتي يُحتمل أن تكون مدعومة بأدوات الذكاء الاصطناعي. وفي الوقت نفسه، يعكس التحول من التصيد الاحتيالي الموجه إلى تسميم محركات البحث طموحًا أوسع يتجاوز عمليات الاختراق التقليدية التي تركز على التجسس في الشرق الأوسط.

من خلال الجمع بين عمليات التصيد الاحتيالي، واختطاف AppDomain، وتطوير البرامج الضارة بمساعدة الذكاء الاصطناعي، والتلاعب بمحركات البحث عبر موجات حملات متعددة، أظهر Nimbus Manticore نموذج تهديد عالي التكيف قادر على التطور بسرعة خلال فترات عدم الاستقرار الجيوسياسي.