MiniFast hátsó ajtó
Az iráni állam által támogatott, az Iszlám Forradalmi Gárdához köthető Nimbus Manticore nevű fenyegetés, amelyet Screening Serpens és UNC1549 néven is nyomon követnek, fokozta kiberkampányait az Egyesült Államokban, Európában és a Közel-Keleten működő szervezetek ellen a 2026 februári iráni közös amerikai-izraeli csapásokat követően. A csoport egyre kifinomultabb behatolási technikákat és rosszindulatú programok terjesztési módszereit alkalmazva célozta meg a repülési és szoftveriparban működő vállalatokat.
A biztonsági kutatók számos olyan működési változást azonosítottak, amelyek megkülönböztetik a legújabb kampányokat a korábbi tevékenységektől. Ezek közé tartozik egy új, MiniFast nevű hátsó ajtó bevezetése, az AppDomain eltérítésének kiterjesztett használata, valamint egy stratégiai fordulat a SEO-mérgezés felé, amelynek célja az áldozatok hamis szoftverletöltő portálokon keresztüli megfertőzése. Az elemzők olyan jeleket is felfedeztek, amelyek arra utalnak, hogy a mesterséges intelligencia által támogatott fejlesztés felgyorsíthatta a rosszindulatú program létrehozását.
Tartalomjegyzék
A hamis állásajánlatoktól a keresőmanipulációig
A Nimbus Manticore történelmileg védelmi, légi és telekommunikációs célpontokra összpontosított karrier témájú adathalász kampányokon keresztül, amelyeket általában „iráni álommunka” műveletekként emlegetnek. A taktika szorosan hasonlít az „Álommunka” hadműveletre, egy hosszú ideje futó, észak-koreai fenyegető szereplőkkel kötött társadalmi manipulációs kampányra.
2026 februárja és áprilisa között a csoport három különálló kampányhullámot hajtott végre megszakítás nélkül, agresszív műveleti tempót demonstrálva a regionális konfliktus során.
2026 februárjában Szaúd-Arábiában és Ausztráliában légi közlekedési és szoftvercégek alkalmazottai csalárd állásajánlatokat kaptak, amelyek az OnlyOffice-on tárolt ZIP archívumokat tartalmaztak. Az archívumban található egy jóindulatú végrehajtható fájl megnyitása az AppDomain eltérítését váltotta ki, amely végül a MiniJunk rosszindulatú DLL-t telepítette.
2026 márciusában a fenyegető szereplő egy hasonló fertőzési láncot alkalmazott, de a folyamatba egy trójai Zoom telepítőt is beépített. A rosszindulatú programot valószínűleg hamis találkozómeghívókon keresztül terjesztették, és végül telepítette az újonnan azonosított MiniFast hátsó ajtót.
2026 áprilisában a Nimbus Manticore egy teljesen más stratégiát vezetett be SEO-mérgezési technikák bevetésével. Az üzemeltetők egy hamis letöltőoldalt hoztak létre, amely az Oracle SQL Developer fejlesztőjének nevezett oldalt adta ki, és manipulálták a Bing és a DuckDuckGo keresőmotor-rangsorolását számos támogató domain regisztrálásával, amelyek célja az oldal láthatóságának növelése volt.
Ez volt az első ismert eset, amikor a csoport felhagyott a hagyományos célzott adathalászattal és a keresőmotorok által vezérelt rosszindulatú programok terjesztésére váltott. Ahelyett, hogy közvetlenül e-mailes csalikkal célozták volna meg az áldozatokat, a támadók megvárták, amíg a fejlesztők és az informatikai személyzet online keres rá a gyakran használt szoftverekre, mielőtt fertőzött telepítőket telepítettek volna.
A MiniFast Backdoor bemutatja a kibővülő technikai képességeit
A MiniFast, más néven MiniUpdate, jelentős előrelépést jelent a Nimbus Manticore kártevő-arzenáljában. A kutatók a kártevőt egy teljes értékű hátsó ajtóként írják le, amelyet tartós hozzáférésre, távoli parancsfuttatásra és hosszú távú kémkedési műveletekre terveztek.
Mielőtt belépne a parancsciklusba, a kártevő alapvető rendszerinformációkat küld a parancs- és vezérlő infrastruktúrájának HTTP-n keresztül. Ezután folyamatosan utasításokat kér le, feltölti a végrehajtási eredményeket, kiszivárogtatja a fájlokat és további hasznos adatokat tölt le.
A hátsó ajtó számos funkciót támogat, beleértve:
- Fájlkezelés és könyvtárak felsorolása
- Folyamatlista és kényszerített folyamatleállítás PID-en keresztül
- Távoli parancsvégrehajtás cmd.exe-n keresztül
- DLL betöltése és ZIP archívum létrehozása
- Kitartás az ütemezett feladatok során
- Jogosultságok eszkalációja a 'runas' parancs használatával
- Állítható jeladó intervallumok konfigurálható jitterrel a kommunikáció véletlenszerűsítéséhez
A kutatók arra utaló jeleket is megfigyeltek, hogy a mesterséges intelligencia által támogatott kódolóeszközök hozzájárulhattak a rosszindulatú program fejlesztéséhez. A bizonyítékok között szerepel a szokatlanul részletes hibakezelés, a túlzott védekező programozási logika, az ismétlődő elnevezési konvenciók, a rendkívül részletes hibakeresési stílusú állapotüzenetek, valamint a moduláris kódszerkezet, amely szokatlan az ilyen méretű és összetettségű rosszindulatú programok esetében.
A konfliktusok gyorsabb és szélesebb körű kiberműveleteket eredményeztek
A kiberbiztonsági szakértők úgy vélik, hogy a kampányok jelentős működési fejlődést mutatnak a Nimbus Manticore számára. Ahelyett, hogy lelassította volna a tevékenységét az aktív geopolitikai konfliktusok idején, a csoport kibővítette tevékenységének ütemét és kifinomultságát.
Egy újonnan kifejlesztett hátsó ajtó gyors telepítése a folyamatban lévő műveletek közepette felgyorsult rosszindulatú programok fejlesztési ciklusaira utal, amelyeket potenciálisan mesterséges intelligencia eszközök is támogatnak. Ugyanakkor a célzott adathalászatról a SEO-mérgezésre való áttérés egy szélesebb körű ambíciót tükröz, amely túlmutat a hagyományos kémkedésre összpontosító behatolásokon a Közel-Keleten.
Az adathalász műveletek, az alkalmazásdomain-eltérítés, a mesterséges intelligencia által támogatott rosszindulatú programok fejlesztése és a keresőmotor-manipuláció több kampányhullámon keresztüli kombinálásával a Nimbus Manticore egy rendkívül adaptív fenyegetési modellt mutatott be, amely képes gyorsan fejlődni a geopolitikai instabilitás időszakaiban.
