MiniFast Backdoor
Il gruppo terroristico iraniano Nimbus Manticore, legato al Corpo delle Guardie Rivoluzionarie Islamiche e noto anche come Screening Serpens e UNC1549, ha intensificato le sue campagne informatiche contro organizzazioni negli Stati Uniti, in Europa e in Medio Oriente in seguito agli attacchi congiunti tra Stati Uniti e Israele contro l'Iran nel febbraio 2026. Il gruppo ha preso di mira aziende del settore aeronautico e del software, utilizzando tecniche di intrusione e metodi di diffusione di malware sempre più sofisticati.
I ricercatori di sicurezza hanno identificato diverse modifiche operative che distinguono le ultime campagne dalle precedenti. Tra queste, l'introduzione di una nuova backdoor chiamata MiniFast, l'uso esteso del dirottamento di AppDomain e un cambio di strategia verso l'avvelenamento SEO per infettare le vittime tramite falsi portali di download di software. Gli analisti hanno inoltre scoperto indicatori che suggeriscono che lo sviluppo assistito dall'intelligenza artificiale potrebbe aver accelerato la creazione del malware.
Sommario
Dalle false offerte di lavoro alla manipolazione dei motori di ricerca
Storicamente, Nimbus Manticore si è concentrata su obiettivi nei settori della difesa, dell'aviazione e delle telecomunicazioni attraverso campagne di phishing a tema professionale, comunemente note come operazioni "Lavoro dei sogni iraniano". Le tattiche assomigliano molto all'Operazione Lavoro dei sogni, una campagna di ingegneria sociale di lunga data associata ad attori nordcoreani.
Tra febbraio e aprile 2026, il gruppo ha condotto tre distinte ondate di campagna senza interruzione, dimostrando un ritmo operativo aggressivo durante il conflitto regionale.
Nel febbraio 2026, i dipendenti di aziende del settore aeronautico e del software in Arabia Saudita e Australia hanno ricevuto offerte di lavoro fraudolente contenenti archivi ZIP ospitati su OnlyOffice. L'apertura di un file eseguibile apparentemente innocuo all'interno dell'archivio ha innescato il dirottamento di AppDomain, che ha infine distribuito la DLL del malware MiniJunk.
Nel marzo 2026, l'autore della minaccia ha adottato una catena di infezione simile, ma ha incorporato un programma di installazione di Zoom infetto da trojan. Il malware è stato probabilmente distribuito tramite falsi inviti a riunioni e ha infine installato la backdoor MiniFast, recentemente identificata.
Nell'aprile del 2026, Nimbus Manticore ha introdotto una strategia completamente diversa, impiegando tecniche di SEO poisoning. Gli operatori hanno creato una pagina di download contraffatta che imitava Oracle SQL Developer e hanno manipolato il posizionamento nei motori di ricerca Bing e DuckDuckGo registrando numerosi domini di supporto progettati per aumentare la visibilità del sito.
Questo ha segnato il primo caso noto in cui il gruppo ha abbandonato il tradizionale spear phishing a favore della distribuzione di malware tramite motori di ricerca. Invece di prendere di mira direttamente le vittime con esche via e-mail, gli aggressori hanno atteso che sviluppatori e personale IT cercassero online software di uso comune prima di distribuire i programmi di installazione infetti.
MiniFast rivela una backdoor che amplia le sue capacità tecniche.
MiniFast, noto anche come MiniUpdate, rappresenta un importante passo avanti nell'arsenale di malware di Nimbus Manticore. I ricercatori descrivono il malware come una backdoor completa, progettata per l'accesso persistente, l'esecuzione di comandi remoti e operazioni di spionaggio a lungo termine.
Prima di avviare il ciclo di comandi, il malware trasmette informazioni di sistema di base alla sua infrastruttura di comando e controllo tramite HTTP. Successivamente, recupera continuamente istruzioni, carica i risultati dell'esecuzione, esfiltra file e scarica payload aggiuntivi.
La backdoor supporta un'ampia gamma di funzionalità, tra cui:
- Manipolazione di file ed enumerazione di directory
- Elenco dei processi e terminazione forzata dei processi tramite PID
- Esecuzione di comandi remoti tramite cmd.exe
- Caricamento delle DLL e creazione dell'archivio ZIP
- Perseveranza attraverso compiti programmati
- Escalation dei privilegi tramite il comando 'runas'
- Intervalli dei beacon regolabili con jitter configurabile per randomizzare le comunicazioni
I ricercatori hanno inoltre osservato segnali che indicano un possibile contributo degli strumenti di programmazione assistiti dall'intelligenza artificiale allo sviluppo del malware. Tra le prove si annoverano una gestione degli errori insolitamente prolissa, una logica di programmazione difensiva eccessiva, convenzioni di denominazione ripetitive, messaggi di stato di debug estremamente dettagliati e una struttura del codice modulare insolita per un malware di queste dimensioni e complessità.
Il conflitto ha alimentato operazioni informatiche più rapide e su vasta scala.
Gli esperti di sicurezza informatica ritengono che le campagne dimostrino una significativa evoluzione operativa per Nimbus Manticore. Anziché rallentare durante i periodi di conflitto geopolitico, il gruppo ha intensificato sia il ritmo che la sofisticazione delle proprie attività.
La rapida diffusione di una backdoor di nuova concezione nel bel mezzo di operazioni in corso suggerisce cicli di sviluppo del malware accelerati, potenzialmente supportati da strumenti di intelligenza artificiale. Allo stesso tempo, il passaggio dal phishing mirato all'avvelenamento SEO riflette un'ambizione più ampia che va oltre le tradizionali intrusioni incentrate sullo spionaggio in Medio Oriente.
Combinando operazioni di phishing, dirottamento di AppDomain, sviluppo di malware assistito dall'intelligenza artificiale e manipolazione dei motori di ricerca in diverse fasi della campagna, Nimbus Manticore ha dimostrato un modello di minaccia altamente adattabile, capace di evolversi rapidamente durante i periodi di instabilità geopolitica.
