MiniFast Backdoor
Спонсорираната от иранската държава хакерска група, известна като свързаната с Корпуса на гвардейците на ислямската революция Nimbus Manticore, проследявана още като Screening Serpens и UNC1549, засили киберкампаниите си срещу организации в Съединените щати, Европа и Близкия изток след съвместните американско-израелски удари срещу Иран през февруари 2026 г. Групата е атакувала компании в авиационната и софтуерната индустрия, използвайки все по-усъвършенствани техники за проникване и методи за доставяне на зловреден софтуер.
Изследователите по сигурността идентифицираха няколко оперативни промени, които отличават последните кампании от по-ранната активност. Те включват въвеждането на нова задна врата, наречена MiniFast, разширено използване на отвличане на AppDomain и стратегически завой към SEO отравяне за заразяване на жертвите чрез фалшиви портали за изтегляне на софтуер. Анализаторите откриха и индикатори, предполагащи, че разработването с помощта на изкуствен интелект може да е ускорило създаването на зловредния софтуер.
Съдържание
От фалшиви предложения за работа до манипулация в търсачките
„Нимбус Мантикора“ исторически се е фокусирала върху цели в областта на отбраната, авиацията и телекомуникациите чрез фишинг кампании, свързани с кариерата, обикновено наричани операции „Иранската работа мечта“. Тактиките много наподобяват операция „Работа мечта“, дългогодишна кампания за социално инженерство, свързана със севернокорейски хакери.
Между февруари и април 2026 г. групировката проведе три отделни кампанийни вълни без прекъсване, демонстрирайки агресивно оперативно темпо по време на регионалния конфликт.
През февруари 2026 г. служители в авиационни и софтуерни организации в Саудитска Арабия и Австралия получиха измамни предложения за работа, съдържащи ZIP архиви, хоствани в OnlyOffice. Отварянето на безобиден изпълним файл в архива задейства отвличане на AppDomain, което в крайна сметка разгръща зловредния DLL файл MiniJunk.
През март 2026 г. злонамереният софтуер възприе подобна верига за заразяване, но включи в процеса троянски инсталатор на Zoom. Злонамереният софтуер вероятно се разпространяваше чрез фалшиви покани за срещи и в крайна сметка инсталираше новооткритата задна вратичка MiniFast.
През април 2026 г. Nimbus Manticore въведе съвсем различна стратегия, като използва техники за SEO отравяне. Операторите създадоха фалшива страница за изтегляне, представяща се за Oracle SQL Developer, и манипулираха класирането в търсачките Bing и DuckDuckGo, като регистрираха множество поддържащи домейни, предназначени да увеличат видимостта на сайта.
Това бе първият известен случай, в който групата изостави традиционния фишинг в полза на разпространението на зловреден софтуер, управлявано от търсачките. Вместо директно да се насочват към жертвите чрез имейл примамки, нападателите изчакаха разработчиците и ИТ персоналът да потърсят често използван софтуер онлайн, преди да доставят заразените инсталатори.
Задната вратичка MiniFast разкрива разширяващи се технически възможности
MiniFast, известен още като MiniUpdate, представлява голямо подобрение в арсенала от зловреден софтуер на Nimbus Manticore. Изследователите описват зловредния софтуер като пълнофункционална задна врата, проектирана за постоянен достъп, дистанционно изпълнение на команди и дългосрочни шпионски операции.
Преди да влезе в командния си цикъл, зловредният софтуер предава основна системна информация към своята командно-контролна инфраструктура през HTTP. След това непрекъснато извлича инструкции, качва резултати от изпълнението, извлича файлове и изтегля допълнителни полезни товари.
Задната вратичка поддържа широк набор от възможности, включително:
- Манипулиране на файлове и изброяване на директории
- Изброяване на процеси и принудително прекратяване на процеси чрез PID
- Изпълнение на отдалечени команди чрез cmd.exe
- Зареждане на DLL файлове и създаване на ZIP архив
- Упоритост чрез планирани задачи
- Ескалация на привилегиите с помощта на командата „runas“
- Регулируеми интервали на маяците с конфигурируемо трептене за рандомизиране на комуникациите
Изследователите също така наблюдават признаци, че инструменти за кодиране, подпомогнати от изкуствен интелект, може да са допринесли за развитието на зловредния софтуер. Доказателствата включват необичайно подробна обработка на грешки, прекомерна защитна логика на програмиране, повтарящи се конвенции за именуване, много подробни съобщения за състояние в стил за отстраняване на грешки и модулно структуриране на код, необичайно за злонамерен софтуер от такъв мащаб и сложност.
Конфликтът подхранва по-бързи и по-широки кибероперации
Експертите по киберсигурност смятат, че кампаниите демонстрират значителна оперативна еволюция за Нимбус Мантикора. Вместо да забави темпото по време на активен геополитически конфликт, групата разшири както темпото, така и сложността на своите дейности.
Бързото внедряване на новоразработена задна врата по време на текущи операции предполага ускорени цикли на разработване на зловреден софтуер, потенциално подкрепени от инструменти за изкуствен интелект. В същото време преходът от целенасочен фишинг към SEO отравяне отразява по-широка амбиция, простираща се отвъд традиционните шпионски атаки в Близкия изток.
Чрез комбиниране на фишинг операции, отвличане на AppDomain, разработване на зловреден софтуер с помощта на изкуствен интелект и манипулиране на търсачки в множество вълни на кампания, Nimbus Manticore демонстрира силно адаптивен модел на заплаха, способен бързо да се развива по време на периоди на геополитическа нестабилност.
