MiniFast Backdoor

Irański, sponsorowany przez państwo, cyberprzestępca znany jako Nimbus Manticore, powiązany z Korpusem Strażników Rewolucji Islamskiej, śledzony również jako Screening Serpens i UNC1549, zintensyfikował swoje kampanie cybernetyczne przeciwko organizacjom w Stanach Zjednoczonych, Europie i na Bliskim Wschodzie po wspólnych atakach USA i Izraela na Iran w lutym 2026 roku. Grupa ta zaatakowała firmy z branży lotniczej i oprogramowania, wykorzystując coraz bardziej zaawansowane techniki włamań i metody dostarczania złośliwego oprogramowania.

Badacze bezpieczeństwa zidentyfikowali kilka zmian operacyjnych, które odróżniają najnowsze kampanie od wcześniejszych. Należą do nich wprowadzenie nowego backdoora o nazwie MiniFast, szersze wykorzystanie przechwytywania domen aplikacji (AppDomain Hijacking) oraz strategiczny zwrot w kierunku zatruwania SEO w celu infekowania ofiar za pośrednictwem fałszywych portali pobierania oprogramowania. Analitycy odkryli również oznaki sugerujące, że rozwój wspomagany sztuczną inteligencją mógł przyspieszyć powstanie złośliwego oprogramowania.

Od fałszywych ofert pracy do manipulacji w wyszukiwarkach

Nimbus Manticore od dawna koncentruje się na celach związanych z obronnością, lotnictwem i telekomunikacją, prowadząc kampanie phishingowe o tematyce zawodowej, powszechnie nazywane operacjami „Iranian Dream Job”. Taktyka ta jest bardzo podobna do operacji Dream Job, długoletniej kampanii socjotechnicznej powiązanej z północnokoreańskimi cyberprzestępcami.

Między lutym a kwietniem 2026 r. grupa przeprowadziła trzy odrębne fale kampanii bez przerwy, co świadczy o agresywnym tempie działań podczas konfliktu regionalnego.

W lutym 2026 roku pracownicy firm lotniczych i informatycznych w Arabii Saudyjskiej i Australii otrzymali fałszywe oferty pracy zawierające archiwa ZIP hostowane w systemie OnlyOffice. Otwarcie nieszkodliwego pliku wykonywalnego w archiwum wywołało atak typu AppDomain, który ostatecznie doprowadził do uruchomienia biblioteki DLL złośliwego oprogramowania MiniJunk.

W marcu 2026 roku atakujący zastosował podobny łańcuch infekcji, ale włączył do niego zainfekowany trojanem instalator Zoom. Szkodliwe oprogramowanie prawdopodobnie rozprzestrzeniało się za pośrednictwem fałszywych zaproszeń na spotkania i ostatecznie zainstalowało nowo zidentyfikowany backdoor MiniFast.

W kwietniu 2026 roku firma Nimbus Manticore wprowadziła zupełnie inną strategię, wdrażając techniki zatruwania SEO. Operatorzy stworzyli fałszywą stronę pobierania podszywającą się pod Oracle SQL Developer i manipulowali pozycjami w wynikach wyszukiwania w Bing i DuckDuckGo, rejestrując liczne domeny pomocnicze w celu zwiększenia widoczności witryny.

Był to pierwszy znany przypadek, w którym grupa porzuciła tradycyjny spearphishing na rzecz dystrybucji złośliwego oprogramowania za pośrednictwem wyszukiwarek. Zamiast atakować ofiary bezpośrednio za pomocą wabików e-mailowych, atakujący czekali, aż programiści i pracownicy IT wyszukają w internecie popularne oprogramowanie, zanim dostarczyli zainfekowane instalatory.

MiniFast Backdoor ujawnia rosnące możliwości techniczne

MiniFast, znany również jako MiniUpdate, stanowi znaczący postęp w arsenale złośliwego oprogramowania Nimbus Manticore. Badacze opisują to złośliwe oprogramowanie jako w pełni funkcjonalnego backdoora zaprojektowanego do trwałego dostępu, zdalnego wykonywania poleceń i długotrwałych operacji szpiegowskich.

Zanim złośliwe oprogramowanie wejdzie w pętlę poleceń, przesyła podstawowe informacje o systemie do swojej infrastruktury dowodzenia i kontroli za pośrednictwem protokołu HTTP. Następnie stale pobiera instrukcje, przesyła wyniki wykonania, wykrada pliki i pobiera dodatkowe ładunki.

Tylne drzwi obsługują szeroki zakres możliwości, w tym:

• Manipulowanie plikami i wyliczanie katalogów
• Wyświetlanie listy procesów i wymuszone zakończenie procesu za pomocą PID
• Zdalne wykonywanie poleceń za pomocą cmd.exe
• Ładowanie bibliotek DLL i tworzenie archiwum ZIP
• Wytrwałość w realizacji zaplanowanych zadań
• Eskalacja uprawnień za pomocą polecenia „runas”
• Regulowane interwały sygnału radiowego z konfigurowalnym jitterem w celu randomizacji komunikacji

Badacze zaobserwowali również oznaki, że narzędzia do kodowania wspomagane sztuczną inteligencją mogły przyczynić się do powstania złośliwego oprogramowania. Dowody obejmują niezwykle rozbudowaną obsługę błędów, nadmierną logikę programowania defensywnego, powtarzające się konwencje nazewnictwa, bardzo szczegółowe komunikaty o stanie w stylu debugowania oraz modułową strukturę kodu, co jest nietypowe dla złośliwego oprogramowania o tej skali i złożoności.

Konflikt napędzał szybsze i szersze operacje cybernetyczne

Eksperci ds. cyberbezpieczeństwa uważają, że kampanie te świadczą o znaczącej ewolucji operacyjnej Nimbus Manticore. Zamiast zwalniać tempo w czasie aktywnego konfliktu geopolitycznego, grupa zwiększyła tempo i zaawansowanie swoich działań.

Szybkie wdrożenie nowo opracowanego backdoora w trakcie trwających operacji sugeruje przyspieszenie cyklów rozwoju złośliwego oprogramowania, potencjalnie wspieranego przez narzędzia sztucznej inteligencji. Jednocześnie przejście od ukierunkowanego phishingu do zatruwania SEO odzwierciedla szersze ambicje wykraczające poza tradycyjne włamania nastawione na szpiegostwo na Bliskim Wschodzie.

Łącząc operacje phishingowe, przejmowanie domen aplikacji, tworzenie złośliwego oprogramowania przy użyciu sztucznej inteligencji i manipulację wyszukiwarką w ramach wielu fal kampanii, Nimbus Manticore zademonstrował niezwykle adaptacyjny model zagrożeń, zdolny do szybkiej ewolucji w okresach niestabilności geopolitycznej.