MiniFast Backdoor

גורם האיום האיראני בחסות המדינה, המכונה Nimbus Manticore, הקשור למשמרות המהפכה האסלאמית, העוקב גם אחריהם כ-Screening Serpens ו-UNC1549, הגביר את קמפייני הסייבר שלו נגד ארגונים בארצות הברית, אירופה והמזרח התיכון בעקבות התקיפות המשותפות של ארה"ב וישראל על איראן בפברואר 2026. הקבוצה כיוונה לחברות בתעשיות התעופה והתוכנה באמצעות טכניקות חדירה מתוחכמות יותר ויותר ושיטות העברת תוכנות זדוניות.

חוקרי אבטחה זיהו מספר שינויים תפעוליים המבדילים את הקמפיינים האחרונים מפעילות קודמת. אלה כוללים הכנסת דלת אחורית חדשה בשם MiniFast, שימוש מורחב בחטיפת AppDomain, וכיוון אסטרטגי לעבר הרעלת SEO כדי להדביק קורבנות באמצעות פורטלים להורדת תוכנה מזויפת. אנליסטים גילו גם אינדיקטורים המצביעים על כך שפיתוח בסיוע בינה מלאכותית עשוי להאיץ את יצירת הנוזקה.

מהצעות עבודה מזויפות ועד מניפולציה במנועי חיפוש

נימבוס מנטיקור התמקדה באופן היסטורי במטרות הגנה, תעופה ותקשורת באמצעות קמפיינים של פישינג בנושא קריירה, המכונים בדרך כלל פעולות "עבודת החלומות האיראנית". הטקטיקות דומות מאוד למבצע "עבודת החלומות", קמפיין הנדסה חברתית ארוך שנים הקשור לגורמי איום צפון קוריאניים.

בין פברואר לאפריל 2026, הקבוצה ביצעה שלושה גלי מבצע נפרדים ללא הפרעה, והדגימה קצב מבצעי אגרסיבי במהלך הסכסוך האזורי.

בפברואר 2026, עובדים בארגוני תעופה ותוכנה בערב הסעודית ובאוסטרליה קיבלו הצעות עבודה הונאה המכילות ארכיוני ZIP המאוחסנים ב-OnlyOffice. פתיחת קובץ הרצה שפיר בתוך הארכיון גרמה לחטיפת AppDomain, שבסופו של דבר פרשה את קובץ ה-DLL הזדוני MiniJunk.

במרץ 2026, גורם האיום אימץ שרשרת הדבקה דומה אך שילב מתקין Zoom מושפע מטירוס טרויאני בתהליך. התוכנה הזדונית הופצה ככל הנראה באמצעות הזמנות לפגישות מזויפות ובסופו של דבר התקינה את דלת האחורית MiniFast שזוהתה לאחרונה.

באפריל 2026, הציגה Nimbus Manticore אסטרטגיה שונה לחלוטין על ידי פריסת טכניקות הרעלת SEO. המפעילים יצרו דף הורדה מזויף שהתחזה ל-Oracle SQL Developer ותמרנו את דירוג מנועי החיפוש ב-Bing ו-DuckDuckGo על ידי רישום דומיינים תומכים רבים שנועדו להגביר את נראות האתר.

זה סימן את המקרה הידוע הראשון שבו הקבוצה זנחה את הפצת התוכנות הזדוניות המסורתיות לטובת הפצת תוכנות זדוניות המונעות על ידי מנועי חיפוש. במקום לכוון ישירות לקורבנות באמצעות פיתיונות בדוא"ל, התוקפים חיכו למפתחים ואנשי IT לחפש תוכנות נפוצות באינטרנט לפני שיספקו מתקינים נגועים.

דלת אחורית מיני-פאסט חושפת יכולות טכניות מתרחבות

MiniFast, המכונה גם MiniUpdate, מייצגת התקדמות משמעותית במאגר התוכנות הזדוניות של Nimbus Manticore. חוקרים מתארים את התוכנה הזדונית כדלת אחורית מלאה, המתוכננת לגישה מתמשכת, ביצוע פקודות מרחוק ופעולות ריגול ארוכות טווח.

לפני הכניסה ללולאת הפקודה שלה, הנוזקה מעבירה מידע בסיסי של המערכת לתשתית הפיקוד והבקרה שלה דרך HTTP. לאחר מכן, היא מאחזרת הוראות באופן רציף, מעלה תוצאות ביצוע, מוציאה קבצים ומורידה מטענים נוספים.

הדלת האחורית תומכת במגוון רחב של יכולות, כולל:

• מניפולציה של קבצים וספירת ספריות
• רישום תהליכים וסיום תהליכים כפוי באמצעות PID
• ביצוע פקודה מרחוק דרך cmd.exe
• טעינת DLL ויצירת ארכיון ZIP
• התמדה באמצעות משימות מתוזמנות
• הסלמת הרשאות באמצעות הפקודה 'runas'
• מרווחי משואות מתכווננים עם ריצוד ניתן להגדרה כדי לסדר את התקשורת באופן אקראי

החוקרים הבחינו גם בסימנים לכך שכלי קידוד בסיוע בינה מלאכותית תרמו להתפתחות הנוזקה. הראיות כוללות טיפול שגיאות מפורט באופן חריג, לוגיקת תכנות הגנתית מוגזמת, מוסכמות מתן שמות חוזרות ונשנות, הודעות סטטוס מפורטות מאוד בסגנון ניפוי שגיאות ומבנה קוד מודולרי שאינו נפוץ עבור נוזקות בסדר גודל ומורכבות כאלה.

סכסוך מתדלק על ידי פעולות סייבר מהירות ורחבות יותר

מומחי אבטחת סייבר מאמינים שהקמפיינים מדגימים התפתחות תפעולית משמעותית עבור Nimbus Manticore. במקום להאט במהלך סכסוך גיאופוליטי פעיל, הקבוצה הגדילה הן את קצב פעילותה והן את תחכום פעילותה.

הפריסה המהירה של דלת אחורית חדשה שפותחה באמצע פעילות מתמשכת מצביעה על מחזורי פיתוח מואצים של תוכנות זדוניות, שעשויים להיות נתמכים על ידי כלי בינה מלאכותית. במקביל, המעבר מפישינג ממוקד להרעלת SEO משקף שאיפה רחבה יותר המשתרעת מעבר לחדירות מסורתיות המתמקדות בריגול במזרח התיכון.

על ידי שילוב של פעולות פישינג, חטיפת AppDomain, פיתוח תוכנות זדוניות בסיוע בינה מלאכותית ומניפולציה של מנועי חיפוש על פני גלי קמפיינים מרובים, Nimbus Manticore הדגים מודל איום אדפטיבי ביותר המסוגל להתפתח במהירות בתקופות של חוסר יציבות גיאופוליטית.