Rabatttilbud for flere lisenser
Trusseldatabase Bakdører MiniFast bakdør

MiniFast bakdør

Med Mezo i Bakdører, Advanced Persistent Threat (APT)
Oversett til:

Den iranske statsstøttede trusselaktøren kjent som Nimbus Manticore, tilknyttet Den islamske revolusjonsgarden, også sporet som Screening Serpens og UNC1549, har intensivert sine cyberkampanjer mot organisasjoner i USA, Europa og Midtøsten etter de felles amerikansk-israelske angrepene på Iran i februar 2026. Gruppen målrettet selskaper i luftfarts- og programvareindustrien ved å bruke stadig mer sofistikerte inntrengingsteknikker og metoder for levering av skadelig programvare.

Sikkerhetsforskere identifiserte flere driftsendringer som skiller de siste kampanjene fra tidligere aktivitet. Disse inkluderer introduksjonen av en ny bakdør kalt MiniFast, utvidet bruk av AppDomain-kapring og en strategisk dreining mot SEO-forgiftning for å infisere ofre gjennom falske programvarenedlastingsportaler. Analytikere oppdaget også indikatorer som tyder på at kunstig intelligens-assistert utvikling kan ha akselerert opprettelsen av skadevaren.

Fra falske jobbtilbud til søkemotormanipulasjon

Nimbus Manticore har historisk sett fokusert på mål innen forsvar, luftfart og telekommunikasjon gjennom karriererelaterte phishing-kampanjer, ofte omtalt som «iranske drømmejobber»-operasjoner. Taktikken ligner sterkt på Operasjon Drømmejobber, en langvarig sosial manipuleringskampanje knyttet til nordkoreanske trusselaktører.

Mellom februar og april 2026 gjennomførte gruppen tre distinkte kampanjebølger uten avbrudd, noe som demonstrerte et aggressivt operasjonstempo under den regionale konflikten.

I februar 2026 mottok ansatte i luftfarts- og programvareorganisasjoner i Saudi-Arabia og Australia falske jobbtilbud som inneholdt ZIP-arkiver lagret på OnlyOffice. Åpning av en godartet kjørbar fil i arkivet utløste AppDomain-kapring, som til slutt distribuerte MiniJunk-malware-DLL-en.

I mars 2026 tok trusselaktøren i bruk en lignende infeksjonskjede, men innlemmet et trojansk Zoom-installasjonsprogram i prosessen. Skadevaren ble sannsynligvis distribuert gjennom falske møteinvitasjoner og installerte til slutt den nylig identifiserte MiniFast-bakdøren.

I april 2026 introduserte Nimbus Manticore en helt annen strategi ved å bruke SEO-forgiftningsteknikker. Operatørene laget en forfalsket nedlastingsside som utga seg for å være Oracle SQL Developer og manipulerte søkemotorrangeringer på Bing og DuckDuckGo ved å registrere en rekke støttende domener som var utformet for å øke nettstedets synlighet.

Dette markerte det første kjente tilfellet der gruppen forlot tradisjonell spearphishing til fordel for søkemotordrevet distribusjon av skadelig programvare. I stedet for å målrette ofrene direkte via e-postlokking, ventet angriperne på at utviklere og IT-personell skulle søke etter vanlig brukt programvare på nettet før de leverte infiserte installasjonsprogrammer.

MiniFast-bakdøren avslører utvidede tekniske muligheter

MiniFast, også kjent som MiniUpdate, representerer et stort fremskritt i Nimbus Manticores arsenal av skadelig programvare. Forskere beskriver skadevaren som en fullverdig bakdør konstruert for vedvarende tilgang, fjernutførelse av kommandoer og langvarige spionasjeoperasjoner.

Før den går inn i kommandosløyfen, overfører skadevaren grunnleggende systeminformasjon til kommando- og kontrollinfrastrukturen via HTTP. Deretter henter den kontinuerlig instruksjoner, laster opp utførelsesresultater, eksfiltrerer filer og laster ned ytterligere nyttelaster.

Bakdøren støtter et bredt spekter av funksjoner, inkludert:

  • Filmanipulering og katalogopplisting
  • Prosessliste og tvungen prosessavslutning via PID
  • Ekstern kommandokjøring via cmd.exe
  • DLL-lasting og oppretting av ZIP-arkiv
  • Utholdenhet gjennom planlagte oppgaver
  • Rettighetseskalering ved hjelp av kommandoen «runas»
  • Justerbare beacon-intervaller med konfigurerbar jitter for å tilfeldiggjøre kommunikasjon

Forskerne observerte også tegn på at AI-assisterte kodeverktøy kan ha bidratt til utviklingen av skadevaren. Bevisene inkluderer uvanlig ordrik feilhåndtering, overdreven defensiv programmeringslogikk, repeterende navnekonvensjoner, svært detaljerte statusmeldinger i feilsøkingsstil og modulær kodestrukturering som er uvanlig for skadevaren av denne størrelsen og kompleksiteten.

Konflikt drevet av raskere og bredere cyberoperasjoner

Cybersikkerhetseksperter mener kampanjene demonstrerer en betydelig operasjonell utvikling for Nimbus Manticore. I stedet for å sakke ned tempoet under aktiv geopolitisk konflikt, økte gruppen både tempoet og sofistikeringen av aktivitetene sine.

Den raske utrullingen av en nyutviklet bakdør midt i pågående operasjoner tyder på akselererte utviklingssykluser for skadelig programvare, potensielt støttet av verktøy for kunstig intelligens. Samtidig gjenspeiler overgangen fra målrettet phishing til SEO-forgiftning en bredere ambisjon som strekker seg utover tradisjonelle spionasjefokuserte inntrenginger i Midtøsten.

Ved å kombinere phishing-operasjoner, kapring av AppDomain, utvikling av AI-assistert skadelig programvare og manipulering av søkemotorer på tvers av flere kampanjebølger, demonstrerte Nimbus Manticore en svært tilpasningsdyktig trusselmodell som er i stand til å utvikle seg raskt i perioder med geopolitisk ustabilitet.

Trender

Mest sett

Laster inn...