Pintu Belakang MiniFast
Aktor ancaman tajaan negara Iran yang dikenali sebagai Nimbus Manticore yang berkaitan dengan Kor Pengawal Revolusi Islam, juga dikesan sebagai Screening Serpens dan UNC1549, telah memperhebatkan kempen sibernya terhadap organisasi di Amerika Syarikat, Eropah dan Timur Tengah susulan serangan bersama AS-Israel ke atas Iran pada Februari 2026. Kumpulan itu menyasarkan syarikat dalam industri penerbangan dan perisian menggunakan teknik pencerobohan yang semakin canggih dan kaedah penghantaran perisian hasad.
Penyelidik keselamatan mengenal pasti beberapa perubahan operasi yang membezakan kempen terkini daripada aktiviti terdahulu. Ini termasuk pengenalan pintu belakang baharu yang dipanggil MiniFast, penggunaan rampasan AppDomain yang meluas dan peralihan strategik ke arah keracunan SEO untuk menjangkiti mangsa melalui portal muat turun perisian palsu. Penganalisis juga menemui petunjuk yang menunjukkan bahawa pembangunan berbantukan kecerdasan buatan mungkin telah mempercepatkan penciptaan perisian hasad tersebut.
Isi kandungan
Daripada Tawaran Kerja Palsu kepada Manipulasi Enjin Carian
Nimbus Manticore secara sejarahnya menumpukan pada sasaran pertahanan, penerbangan dan telekomunikasi melalui kempen pancingan data bertemakan kerjaya yang biasanya dirujuk sebagai operasi 'Kerja Impian Iran'. Taktik ini hampir menyerupai Operasi Kerja Impian, kempen kejuruteraan sosial yang telah lama dikaitkan dengan pelaku ancaman Korea Utara.
Antara Februari dan April 2026, kumpulan itu melaksanakan tiga gelombang kempen berbeza tanpa gangguan, menunjukkan tempo operasi yang agresif semasa konflik serantau.
Pada Februari 2026, pekerja dalam organisasi penerbangan dan perisian di Arab Saudi dan Australia menerima tawaran kerja palsu yang mengandungi arkib ZIP yang dihoskan di OnlyOffice. Membuka fail boleh laku jinak di dalam arkib telah mencetuskan rampasan AppDomain, yang akhirnya menggunakan DLL perisian hasad MiniJunk.
Pada Mac 2026, pelaku ancaman tersebut telah menggunakan rantaian jangkitan yang serupa tetapi telah memasukkan pemasang Zoom yang ditrojankan ke dalam proses tersebut. Perisian hasad tersebut kemungkinan besar telah diedarkan melalui jemputan mesyuarat palsu dan akhirnya memasang pintu belakang MiniFast yang baru dikenal pasti.
Pada April 2026, Nimbus Manticore memperkenalkan strategi yang sama sekali berbeza dengan menggunakan teknik keracunan SEO. Pengendali telah mencipta halaman muat turun palsu yang menyamar sebagai Oracle SQL Developer dan memanipulasi kedudukan enjin carian di Bing dan DuckDuckGo dengan mendaftarkan pelbagai domain sokongan yang direka untuk meningkatkan keterlihatan laman web tersebut.
Ini menandakan kejadian pertama yang diketahui di mana kumpulan itu meninggalkan spearphishing tradisional dan beralih kepada pengedaran malware yang dipacu enjin carian. Daripada menyasarkan mangsa secara langsung melalui umpan e-mel, penyerang menunggu pembangun dan kakitangan IT mencari perisian yang biasa digunakan dalam talian sebelum menghantar pemasang yang dijangkiti.
MiniFast Backdoor Mendedahkan Keupayaan Teknikal yang Berkembang
MiniFast, juga dikenali sebagai MiniUpdate, mewakili kemajuan besar dalam senjata perisian hasad Nimbus Manticore. Penyelidik menggambarkan perisian hasad ini sebagai pintu belakang berciri penuh yang direka bentuk untuk akses berterusan, pelaksanaan arahan jarak jauh dan operasi pengintipan jangka panjang.
Sebelum memasuki gelung arahannya, perisian hasad menghantar maklumat sistem asas kepada infrastruktur arahan dan kawalannya melalui HTTP. Ia kemudiannya mengambil arahan secara berterusan, memuat naik hasil pelaksanaan, mengeluarkan fail dan memuat turun muatan tambahan.
Pintu belakang menyokong pelbagai keupayaan, termasuk:
- Manipulasi fail dan penghitungan direktori
- Penyenaraian proses dan penamatan proses paksa melalui PID
- Pelaksanaan arahan jauh melalui cmd.exe
- Pemuatan DLL dan penciptaan arkib ZIP
- Kegigihan melalui tugasan yang dijadualkan
- Peningkatan keistimewaan menggunakan arahan 'runas'
- Selang suar boleh laras dengan jitter yang boleh dikonfigurasikan untuk mengacak komunikasi
Para penyelidik juga memerhatikan tanda-tanda bahawa alat pengekodan berbantukan AI mungkin telah menyumbang kepada perkembangan perisian hasad. Bukti termasuk pengendalian ralat yang luar biasa bertele-tele, logik pengaturcaraan pertahanan yang berlebihan, konvensyen penamaan berulang, mesej status gaya debug yang sangat terperinci dan penstrukturan kod modular yang luar biasa untuk perisian hasad dalam skala dan kerumitan ini.
Konflik Mencetuskan Operasi Siber yang Lebih Pantas dan Lebih Luas
Pakar keselamatan siber percaya kempen-kempen tersebut menunjukkan evolusi operasi yang ketara untuk Nimbus Manticore. Daripada memperlahankan pergerakan semasa konflik geopolitik yang aktif, kumpulan itu mengembangkan kedua-dua rentak dan kecanggihan aktivitinya.
Penggunaan pintu belakang yang baru dibangunkan dengan pantas di tengah-tengah operasi yang sedang dijalankan menunjukkan kitaran pembangunan perisian hasad yang dipercepatkan, yang berpotensi disokong oleh perkakasan kecerdasan buatan. Pada masa yang sama, peralihan daripada pancingan data yang disasarkan kepada keracunan SEO mencerminkan cita-cita yang lebih luas melangkaui pencerobohan tradisional yang berfokus pada pengintipan di Timur Tengah.
Dengan menggabungkan operasi pancingan data, rampasan AppDomain, pembangunan perisian hasad berbantukan AI dan manipulasi enjin carian merentasi pelbagai gelombang kempen, Nimbus Manticore menunjukkan model ancaman yang sangat adaptif yang mampu berkembang pesat semasa tempoh ketidakstabilan geopolitik.
