MiniFast tagauks

Iraani riigi toetatud ohurühmitus, tuntud kui Islamirevolutsioonikaardiga seotud Nimbus Manticore, mida jälgitakse ka nimede Screening Serpens ja UNC1549 all, on pärast USA ja Iisraeli ühiseid rünnakuid Iraanile 2026. aasta veebruaris intensiivistanud oma küberkampaaniaid organisatsioonide vastu Ameerika Ühendriikides, Euroopas ja Lähis-Idas. Rühmitus võttis sihikule lennundus- ja tarkvaratööstuse ettevõtteid, kasutades üha keerukamaid sissetungimistehnikaid ja pahavara edastamise meetodeid.

Turvaeksperdid tuvastasid mitu operatiivset muudatust, mis eristavad uusimaid kampaaniaid varasemast tegevusest. Nende hulka kuuluvad uue tagaukse MiniFasti kasutuselevõtt, rakenduste domeenide kaaperdamise laiema kasutamise ja strateegilise suuna muutmine SEO mürgitamise suunas, et nakatada ohvreid võltsitud tarkvara allalaadimisportaalide kaudu. Analüütikud avastasid ka märke, mis viitavad sellele, et tehisintellekti abil arendatud arendus võis pahavara loomist kiirendada.

Võltsitud tööpakkumistest otsingumootorite manipuleerimiseni

Nimbus Manticore on ajalooliselt keskendunud kaitse-, lennundus- ja telekommunikatsioonisihtmärkidele karjääriteemaliste andmepüügikampaaniate kaudu, mida tavaliselt nimetatakse „Iraani unistuste töö“ operatsioonideks. Taktika meenutab väga operatsiooni „Unistuste töö“ – pikaajalist sotsiaalse manipuleerimise kampaaniat, mida seostatakse Põhja-Korea ohutegelastega.

Veebruarist aprillini 2026 viis rühmitus katkematult läbi kolm erinevat kampaanialainet, näidates üles agressiivset operatsioonitempot piirkondliku konflikti ajal.

2026. aasta veebruaris said Saudi Araabia ja Austraalia lennundus- ja tarkvarafirmade töötajad petturlikke tööpakkumisi, mis sisaldasid OnlyOffice'is majutatud ZIP-arhiive. Arhiivis oleva healoomulise käivitatava faili avamine vallandas AppDomaini kaaperdamise, mis lõpuks juurutas MiniJunk pahavara DLL-i.

2026. aasta märtsis kasutas pahavara sarnast nakatamisahelat, kuid kaasas protsessi troojalase Zoomi installija. Pahavara levitati tõenäoliselt võltsitud koosolekukutsete kaudu ja lõpuks paigaldati äsja tuvastatud MiniFasti tagauks.

2026. aasta aprillis võttis Nimbus Manticore kasutusele täiesti erineva strateegia, kasutades SEO mürgitamise tehnikaid. Operaatorid lõid võltsitud allalaadimislehe, mis imiteeris Oracle SQL Developerit, ning manipuleerisid otsingumootorite paremusjärjestusega Bingis ja DuckDuckGos, registreerides arvukalt tugidomeene, mille eesmärk oli saidi nähtavuse suurendamine.

See oli esimene teadaolev juhtum, kus rühmitus loobus traditsioonilisest andmepüügist ja eelistas otsingumootorite abil levitatavat pahavara. Selle asemel, et ohvreid otse e-posti teel sihtida, ootasid ründajad, et arendajad ja IT-personal otsiksid enne nakatunud installiprogrammide edastamist veebist levinud tarkvara.

MiniFast Backdoor avalikustab laienevad tehnilised võimalused

MiniFast, tuntud ka kui MiniUpdate, esindab Nimbus Manticore'i pahavara arsenalis olulist edasiminekut. Teadlased kirjeldavad pahavara kui täisfunktsionaalset tagaust, mis on loodud püsiva juurdepääsu, kaugkäskluste täitmise ja pikaajaliste spionaažioperatsioonide jaoks.

Enne käsklustsüklisse sisenemist edastab pahavara HTTP kaudu oma juhtimis- ja juhtimisinfrastruktuurile põhilise süsteemiinfo. Seejärel hangib see pidevalt juhiseid, laadib üles täitmistulemusi, filtreerib faile ja laadib alla lisateavet.

Tagauks toetab laia valikut funktsioone, sealhulgas:

• Failide manipuleerimine ja kataloogide loendamine
• Protsesside loetlemine ja protsesside sunnitud lõpetamine PID-i kaudu
• Kaugkäskluste täitmine cmd.exe kaudu
• DLL-i laadimine ja ZIP-arhiivi loomine
• Püsivus ajastatud ülesannete täitmisel
• Privileegide eskaleerimine käsu 'runas' abil
• Reguleeritavad signaaliintervallid ja konfigureeritav värin side randomiseerimiseks

Teadlased täheldasid ka märke, et tehisintellekti abil kodeerimistööriistad võisid pahavara arendamisele kaasa aidata. Tõendite hulka kuuluvad ebatavaliselt paljusõnaline veakäsitlus, liigne kaitseprogrammeerimisloogika, korduvad nimetamiskonventsioonid, väga detailsed silumisstiilis olekuteated ja modulaarne koodistruktuur, mis on sellise ulatuse ja keerukusega pahavara puhul ebatavaline.

Konflikt õhutas kiiremaid ja laiemaid küberoperatsioone

Küberjulgeolekueksperdid usuvad, et need kampaaniad näitavad Nimbus Manticore'i olulist operatiivset arengut. Aktiivse geopoliitilise konflikti ajal tempo aeglustumise asemel laiendas rühmitus nii oma tegevuse tempot kui ka keerukust.

Uue tagaukse kiire kasutuselevõtt käimasolevate operatsioonide keskel viitab kiirenenud pahavara arendustsüklitele, mida potentsiaalselt toetavad tehisintellekti tööriistad. Samal ajal peegeldab üleminek sihipäraselt andmepüügilt SEO mürgitamisele laiemat ambitsiooni, mis ulatub kaugemale traditsioonilistest spionaažikesksetest sissetungidest Lähis-Idas.

Kombineerides andmepüügioperatsioone, rakenduste domeenide kaaperdamist, tehisintellekti abil pahavara arendamist ja otsingumootorite manipuleerimist mitme kampaanialaine jooksul, demonstreeris Nimbus Manticore väga kohanemisvõimelist ohumudelit, mis on võimeline geopoliitilise ebastabiilsuse perioodidel kiiresti arenema.