Porta posterior MiniFast
L'actor cibernètic patrocinat per l'estat iranià conegut com a Nimbus Manticore, vinculat al Cos de la Guàrdia Revolucionària Islàmica, també rastrejat com a Screening Serpens i UNC1549, ha intensificat les seves campanyes cibernètiques contra organitzacions als Estats Units, Europa i l'Orient Mitjà després dels atacs conjunts dels EUA i Israel contra l'Iran el febrer de 2026. El grup va atacar empreses de les indústries de l'aviació i el programari utilitzant tècniques d'intrusió i mètodes de distribució de programari maliciós cada cop més sofisticats.
Els investigadors de seguretat van identificar diversos canvis operatius que distingeixen les darreres campanyes de l'activitat anterior. Aquests inclouen la introducció d'una nova porta del darrere anomenada MiniFast, l'ús ampliat del segrest d'AppDomain i un gir estratègic cap a l'enverinament SEO per infectar les víctimes a través de portals de descàrrega de programari falsos. Els analistes també van descobrir indicadors que suggereixen que el desenvolupament assistit per intel·ligència artificial pot haver accelerat la creació del programari maliciós.
Taula de continguts
De les ofertes de treball falses a la manipulació dels motors de cerca
Nimbus Manticore s'ha centrat històricament en objectius de defensa, aviació i telecomunicacions a través de campanyes de phishing amb temàtica professional, comunament conegudes com a operacions "Iranian Dream Job". Les tàctiques s'assemblen molt a l'Operació Dream Job, una campanya d'enginyeria social de llarga durada associada amb actors d'amenaces nord-coreans.
Entre febrer i abril de 2026, el grup va executar tres onades de campanya diferents sense interrupcions, demostrant un ritme operatiu agressiu durant el conflicte regional.
El febrer del 2026, empleats d'organitzacions d'aviació i programari a l'Aràbia Saudita i Austràlia van rebre ofertes de treball fraudulentes que contenien arxius ZIP allotjats a OnlyOffice. L'obertura d'un executable benigne dins de l'arxiu va desencadenar el segrest d'AppDomain, que finalment va desplegar la DLL de programari maliciós MiniJunk.
El març del 2026, l'actor maliciós va adoptar una cadena d'infecció similar però va incorporar un instal·lador de Zoom troià al procés. El programari maliciós probablement es va distribuir a través d'invitacions falses a reunions i finalment va instal·lar la porta del darrere MiniFast recentment identificada.
L'abril de 2026, Nimbus Manticore va introduir una estratègia completament diferent mitjançant tècniques d'enverinament SEO. Els operadors van crear una pàgina de descàrrega falsificada que suplantava Oracle SQL Developer i van manipular les classificacions dels motors de cerca a Bing i DuckDuckGo registrant nombrosos dominis de suport dissenyats per augmentar la visibilitat del lloc.
Aquest va ser el primer cas conegut en què el grup va abandonar el spearphishing tradicional en favor de la distribució de programari maliciós impulsada pels motors de cerca. En lloc de dirigir-se directament a les víctimes mitjançant esquers de correu electrònic, els atacants van esperar que els desenvolupadors i el personal d'informàtica busquessin programari d'ús comú en línia abans de lliurar els instal·ladors infectats.
MiniFast Backdoor revela capacitats tècniques en expansió
MiniFast, també conegut com a MiniUpdate, representa un avenç important en l'arsenal de programari maliciós de Nimbus Manticore. Els investigadors descriuen el programari maliciós com una porta del darrere amb totes les funcions dissenyada per a l'accés persistent, l'execució remota d'ordres i operacions d'espionatge a llarg termini.
Abans d'entrar al seu bucle de comandaments, el programari maliciós transmet informació bàsica del sistema a la seva infraestructura de comandament i control a través d'HTTP. A continuació, recupera contínuament instruccions, carrega resultats d'execució, exfiltra fitxers i descarrega càrregues addicionals.
La porta del darrere admet una àmplia gamma de capacitats, com ara:
- Manipulació de fitxers i enumeració de directoris
- Llistat de processos i terminació forçada del procés mitjançant PID
- Execució remota d'ordres mitjançant cmd.exe
- Càrrega de DLL i creació d'arxius ZIP
- Persistència a través de les tasques programades
- Escalada de privilegis mitjançant l'ordre 'runas'
- Intervals de balisa ajustables amb jitter configurable per aleatoritzar les comunicacions
Els investigadors també van observar signes que les eines de codificació assistides per IA podrien haver contribuït al desenvolupament del programari maliciós. Les proves inclouen una gestió d'errors inusualment prolixa, una lògica de programació defensiva excessiva, convencions de nomenament repetitives, missatges d'estat d'estil de depuració molt detallats i una estructuració de codi modular poc comuna per a programari maliciós d'aquesta escala i complexitat.
Operacions cibernètiques més ràpides i àmplies impulsades pels conflictes
Els experts en ciberseguretat creuen que les campanyes demostren una evolució operativa significativa per a Nimbus Manticore. En lloc d'alentir-se durant un conflicte geopolític actiu, el grup va ampliar tant el ritme com la sofisticació de les seves activitats.
El ràpid desplegament d'una porta del darrere recentment desenvolupada enmig d'operacions en curs suggereix cicles accelerats de desenvolupament de programari maliciós, potencialment recolzats per eines d'intel·ligència artificial. Al mateix temps, la transició del phishing dirigit a la intoxicació SEO reflecteix una ambició més àmplia que va més enllà de les intrusions tradicionals centrades en l'espionatge a l'Orient Mitjà.
Combinant operacions de phishing, segrest d'AppDomain, desenvolupament de programari maliciós assistit per IA i manipulació de motors de cerca en múltiples onades de campanya, Nimbus Manticore va demostrar un model d'amenaces altament adaptatiu capaç d'evolucionar ràpidament durant períodes d'inestabilitat geopolítica.
