Minifast बैकडोर
ईरान द्वारा प्रायोजित साइबर हमलावर समूह, जिसे इस्लामिक रिवोल्यूशनरी गार्ड कोर से जुड़ा निंबस मैन्टिकोर (स्क्रीनिंग सर्पेंस और यूएनसी1549 के नाम से भी जाना जाता है) ने फरवरी 2026 में ईरान पर हुए अमेरिकी-इजरायली संयुक्त हमलों के बाद अमेरिका, यूरोप और मध्य पूर्व के संगठनों के खिलाफ अपने साइबर अभियानों को तेज कर दिया है। इस समूह ने विमानन और सॉफ्टवेयर उद्योगों की कंपनियों को निशाना बनाते हुए तेजी से परिष्कृत घुसपैठ तकनीकों और मैलवेयर पहुंचाने के तरीकों का इस्तेमाल किया है।
सुरक्षा शोधकर्ताओं ने कई परिचालन संबंधी बदलावों की पहचान की है जो नवीनतम अभियानों को पिछली गतिविधियों से अलग करते हैं। इनमें मिनीफास्ट नामक एक नए बैकडोर का परिचय, ऐपडोमेन हाइजैकिंग का विस्तारित उपयोग और नकली सॉफ़्टवेयर डाउनलोड पोर्टलों के माध्यम से पीड़ितों को संक्रमित करने के लिए एसईओ पॉइज़निंग की ओर रणनीतिक बदलाव शामिल हैं। विश्लेषकों ने ऐसे संकेत भी पाए हैं जिनसे पता चलता है कि कृत्रिम बुद्धिमत्ता की सहायता से किए गए विकास ने मैलवेयर के निर्माण में तेजी लाई होगी।
विषयसूची
फर्जी नौकरी के प्रस्तावों से लेकर सर्च इंजन में हेरफेर तक
निम्बस मैन्टिकोर ने ऐतिहासिक रूप से रक्षा, विमानन और दूरसंचार क्षेत्रों को निशाना बनाते हुए करियर-थीम वाले फ़िशिंग अभियान चलाए हैं, जिन्हें आमतौर पर 'ईरानी ड्रीम जॉब' ऑपरेशन के रूप में जाना जाता है। ये रणनीति ऑपरेशन ड्रीम जॉब से काफी मिलती-जुलती है, जो उत्तर कोरियाई हमलावरों से जुड़ा एक लंबे समय से चल रहा सोशल इंजीनियरिंग अभियान है।
फरवरी और अप्रैल 2026 के बीच, समूह ने बिना किसी रुकावट के तीन अलग-अलग अभियान चरणों को अंजाम दिया, जो क्षेत्रीय संघर्ष के दौरान आक्रामक परिचालन गति को दर्शाता है।
फरवरी 2026 में, सऊदी अरब और ऑस्ट्रेलिया में विमानन और सॉफ्टवेयर संगठनों के कर्मचारियों को फर्जी नौकरी के प्रस्ताव मिले जिनमें ओनलीऑफिस पर होस्ट किए गए ज़िप आर्काइव शामिल थे। आर्काइव के अंदर मौजूद एक हानिरहित निष्पादन योग्य फ़ाइल को खोलने से ऐपडोमेन हाइजैकिंग शुरू हो गई, जिसके परिणामस्वरूप अंततः मिनीजंक मैलवेयर डीएलएल तैनात हो गया।
मार्च 2026 में, हमलावर ने इसी तरह की संक्रमण श्रृंखला अपनाई, लेकिन इस प्रक्रिया में ट्रोजनयुक्त ज़ूम इंस्टॉलर को शामिल कर लिया। यह मैलवेयर संभवतः नकली मीटिंग आमंत्रणों के माध्यम से फैलाया गया था और अंततः इसने हाल ही में पहचाने गए मिनीफास्ट बैकडोर को स्थापित कर दिया।
अप्रैल 2026 में, निंबस मैन्टिकोर ने एसईओ पॉइज़निंग तकनीकों का उपयोग करके एक बिल्कुल अलग रणनीति अपनाई। संचालकों ने ऑरेकल एसक्यूएल डेवलपर का रूप धारण करते हुए एक नकली डाउनलोड पेज बनाया और साइट की दृश्यता बढ़ाने के लिए कई सहायक डोमेन पंजीकृत करके बिंग और डकडकगो पर सर्च इंजन रैंकिंग में हेरफेर किया।
यह पहला ज्ञात उदाहरण था जिसमें समूह ने पारंपरिक स्पीयरफ़िशिंग को छोड़कर सर्च इंजन आधारित मैलवेयर वितरण को अपनाया। ईमेल के ज़रिए सीधे पीड़ितों को निशाना बनाने के बजाय, हमलावर डेवलपर्स और आईटी कर्मियों द्वारा आमतौर पर इस्तेमाल किए जाने वाले सॉफ़्टवेयर को ऑनलाइन खोजने का इंतज़ार करते थे, और फिर उन्हें संक्रमित इंस्टॉलर भेजते थे।
MiniFast बैकडोर ने अपनी बढ़ती तकनीकी क्षमताओं का खुलासा किया
मिनीफास्ट, जिसे मिनीअपडेट के नाम से भी जाना जाता है, निंबस मैन्टिकोर के मैलवेयर शस्त्रागार में एक महत्वपूर्ण प्रगति का प्रतिनिधित्व करता है। शोधकर्ताओं ने इस मैलवेयर को एक पूर्ण विकसित बैकडोर बताया है जिसे निरंतर पहुंच, दूरस्थ कमांड निष्पादन और दीर्घकालिक जासूसी अभियानों के लिए डिज़ाइन किया गया है।
अपने कमांड लूप में प्रवेश करने से पहले, मैलवेयर HTTP के माध्यम से बुनियादी सिस्टम जानकारी को अपने कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर में भेजता है। इसके बाद यह लगातार निर्देश प्राप्त करता है, निष्पादन परिणाम अपलोड करता है, फ़ाइलें निकालता है और अतिरिक्त पेलोड डाउनलोड करता है।
यह बैकडोर कई प्रकार की क्षमताओं का समर्थन करता है, जिनमें शामिल हैं:
- फ़ाइल हेरफेर और निर्देशिका गणना
- PID के माध्यम से प्रोसेस लिस्टिंग और जबरन प्रोसेस टर्मिनेशन
- cmd.exe के माध्यम से रिमोट कमांड निष्पादन
- DLL लोडिंग और ZIP आर्काइव निर्माण
- निर्धारित कार्यों में दृढ़ता बनाए रखना
- 'runas' कमांड का उपयोग करके विशेषाधिकार बढ़ाना
- संचार को यादृच्छिक बनाने के लिए विन्यास योग्य जिटर के साथ समायोज्य बीकन अंतराल।
शोधकर्ताओं ने ऐसे संकेत भी देखे हैं जिनसे पता चलता है कि एआई-सहायता प्राप्त कोडिंग टूल ने मैलवेयर के विकास में योगदान दिया हो सकता है। साक्ष्यों में असामान्य रूप से विस्तृत त्रुटि प्रबंधन, अत्यधिक सुरक्षात्मक प्रोग्रामिंग तर्क, बार-बार दोहराई जाने वाली नामकरण पद्धतियाँ, अत्यधिक विस्तृत डिबग-शैली के स्थिति संदेश और मॉड्यूलर कोड संरचना शामिल हैं जो इस पैमाने और जटिलता के मैलवेयर के लिए असामान्य हैं।
संघर्ष ने साइबर अभियानों को और अधिक तीव्र और व्यापक बना दिया।
साइबर सुरक्षा विशेषज्ञों का मानना है कि ये अभियान निंबस मैन्टिकोर के परिचालन में एक महत्वपूर्ण विकास को दर्शाते हैं। सक्रिय भू-राजनीतिक संघर्ष के दौरान अपनी गतिविधियों को धीमा करने के बजाय, समूह ने उनकी गति और परिष्कार दोनों का विस्तार किया।
चल रहे अभियानों के बीच एक नए विकसित बैकडोर की तीव्र तैनाती मैलवेयर विकास चक्रों में तेजी का संकेत देती है, जो संभवतः कृत्रिम बुद्धिमत्ता उपकरणों द्वारा समर्थित है। साथ ही, लक्षित फ़िशिंग से एसईओ विषाक्तता की ओर यह बदलाव मध्य पूर्व में जासूसी पर केंद्रित पारंपरिक घुसपैठों से परे एक व्यापक महत्वाकांक्षा को दर्शाता है।
कई अभियान चरणों में फ़िशिंग ऑपरेशन, ऐपडोमेन हाइजैकिंग, एआई-सहायता प्राप्त मैलवेयर विकास और सर्च इंजन हेरफेर को मिलाकर, निंबस मैन्टिकोर ने एक अत्यधिक अनुकूलनीय खतरे का मॉडल प्रदर्शित किया जो भू-राजनीतिक अस्थिरता की अवधि के दौरान तेजी से विकसित होने में सक्षम है।
