MiniFast stražnja vrata
Iranski državni akter prijetnji poznat kao Nimbus Manticore, povezan s Korpusom islamske revolucionarne garde, također praćen kao Screening Serpens i UNC1549, pojačao je svoje kibernetičke kampanje protiv organizacija u Sjedinjenim Državama, Europi i Bliskom istoku nakon zajedničkih američko-izraelskih napada na Iran u veljači 2026. Grupa je ciljala tvrtke u zrakoplovnoj i softverskoj industriji koristeći sve sofisticiranije tehnike upada i metode isporuke zlonamjernog softvera.
Sigurnosni istraživači identificirali su nekoliko operativnih promjena koje razlikuju najnovije kampanje od ranijih aktivnosti. To uključuje uvođenje novog backdoora pod nazivom MiniFast, proširenu upotrebu otmice AppDomaina i strateški zaokret prema SEO trovanju kako bi se žrtve zarazile putem lažnih portala za preuzimanje softvera. Analitičari su također otkrili pokazatelje koji sugeriraju da je razvoj uz pomoć umjetne inteligencije možda ubrzao stvaranje zlonamjernog softvera.
Sadržaj
Od lažnih ponuda za posao do manipulacije tražilicama
Nimbus Manticore se povijesno fokusirao na obrambene, zrakoplovne i telekomunikacijske ciljeve putem phishing kampanja s karijernom tematikom, obično poznatih kao operacije "Iranski posao iz snova". Taktike vrlo nalikuju Operaciji Posao iz snova, dugotrajnoj kampanji socijalnog inženjeringa povezanoj sa sjevernokorejskim akterima prijetnji.
Između veljače i travnja 2026., skupina je provela tri različita vala kampanje bez prekida, demonstrirajući agresivan operativni tempo tijekom regionalnog sukoba.
U veljači 2026. zaposlenici u zrakoplovnim i softverskim organizacijama u Saudijskoj Arabiji i Australiji primili su lažne ponude za posao koje su sadržavale ZIP arhive hostirane na OnlyOfficeu. Otvaranje benigne izvršne datoteke unutar arhive pokrenulo je otmicu AppDomaina, što je na kraju aktiviralo DLL zlonamjernog softvera MiniJunk.
U ožujku 2026., napadač je usvojio sličan lanac zaraze, ali je u proces uključio trojanski instalacijski program Zooma. Zlonamjerni softver vjerojatno se distribuirao putem lažnih pozivnica za sastanke i na kraju je instalirao novootkriveni backdoor MiniFast.
U travnju 2026., Nimbus Manticore predstavio je potpuno drugačiju strategiju primjenom tehnika SEO trovanja. Operateri su stvorili krivotvorenu stranicu za preuzimanje koja se lažno predstavljala kao Oracle SQL Developer i manipulirala rangiranjem na tražilicama Bing i DuckDuckGo registrirajući brojne prateće domene osmišljene za povećanje vidljivosti stranice.
Ovo je označilo prvi poznati slučaj u kojem je grupa napustila tradicionalni spearphishing u korist distribucije zlonamjernog softvera putem tražilica. Umjesto izravnog ciljanja žrtava putem mamaca putem e-pošte, napadači su čekali da programeri i IT osoblje pretraže često korišteni softver na mreži prije nego što su isporučili zaražene instalacijske programe.
MiniFast Backdoor otkriva proširene tehničke mogućnosti
MiniFast, također poznat kao MiniUpdate, predstavlja veliki napredak u arsenalu zlonamjernog softvera Nimbus Manticore. Istraživači opisuju zlonamjerni softver kao potpuno opremljena stražnja vrata osmišljena za trajni pristup, izvršavanje udaljenih naredbi i dugoročne špijunske operacije.
Prije ulaska u svoju naredbenu petlju, zlonamjerni softver putem HTTP-a prenosi osnovne sistemske informacije svojoj naredbenoj i kontrolnoj infrastrukturi. Zatim kontinuirano dohvaća instrukcije, prenosi rezultate izvršavanja, izvlači datoteke i preuzima dodatne podatke.
Stražnja vrata podržavaju širok raspon mogućnosti, uključujući:
- Manipulacija datotekama i nabrajanje direktorija
- Popis procesa i prisilni prekid procesa putem PID-a
- Izvršavanje naredbi na daljinu putem cmd.exe
- Učitavanje DLL-a i stvaranje ZIP arhive
- Upornost kroz planirane zadatke
- Eskalacija privilegija pomoću naredbe 'runas'
- Podesivi intervali signala s konfiguriranim podrhtavanjem za randomizaciju komunikacije
Istraživači su također uočili znakove da su alati za kodiranje potpomognuto umjetnom inteligencijom mogli doprinijeti razvoju zlonamjernog softvera. Dokazi uključuju neobično opširno rukovanje pogreškama, pretjeranu obrambenu logiku programiranja, ponavljajuće konvencije imenovanja, vrlo detaljne poruke o statusu u stilu otklanjanja pogrešaka i modularno strukturiranje koda neuobičajeno za zlonamjerni softver ove veličine i složenosti.
Sukob potaknuo brže i šire kibernetičke operacije
Stručnjaci za kibernetičku sigurnost vjeruju da kampanje pokazuju značajnu operativnu evoluciju za Nimbus Manticore. Umjesto usporavanja tijekom aktivnog geopolitičkog sukoba, grupa je proširila i tempo i sofisticiranost svojih aktivnosti.
Brzo postavljanje novo razvijenog backdoora usred tekućih operacija sugerira ubrzane cikluse razvoja zlonamjernog softvera, potencijalno podržane alatima umjetne inteligencije. Istovremeno, prijelaz s ciljanog phishinga na SEO trovanje odražava širu ambiciju koja se proteže dalje od tradicionalnih upada usmjerenih na špijunažu na Bliskom istoku.
Kombiniranjem phishing operacija, otmice AppDomaina, razvoja zlonamjernog softvera uz pomoć umjetne inteligencije i manipulacije tražilicama u više valova kampanje, Nimbus Manticore pokazao je visoko adaptivni model prijetnje sposoban za brz razvoj tijekom razdoblja geopolitičke nestabilnosti.
