Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Backdoors Porta traseira MiniFast

Porta traseira MiniFast

Por Mezo em Backdoors, Ameaça Persistente Avançada (APT)
Traduzir Para:

O grupo de ameaças cibernéticas patrocinado pelo Estado iraniano, conhecido como Nimbus Manticore, ligado à Guarda Revolucionária Islâmica, também rastreado como Screening Serpens e UNC1549, intensificou suas campanhas cibernéticas contra organizações nos Estados Unidos, Europa e Oriente Médio após os ataques conjuntos EUA-Israel contra o Irã em fevereiro de 2026. O grupo teve como alvo empresas dos setores de aviação e software, utilizando técnicas de intrusão e métodos de distribuição de malware cada vez mais sofisticados.

Pesquisadores de segurança identificaram diversas mudanças operacionais que distinguem as campanhas mais recentes das atividades anteriores. Entre elas, estão a introdução de uma nova porta dos fundos chamada MiniFast, o uso expandido do sequestro de domínios de aplicativos (AppDomain) e uma mudança estratégica para o envenenamento de SEO, visando infectar vítimas por meio de portais falsos de download de software. Os analistas também descobriram indícios que sugerem que o desenvolvimento assistido por inteligência artificial pode ter acelerado a criação do malware.

De ofertas de emprego falsas à manipulação de mecanismos de busca

Historicamente, a Nimbus Manticore tem se concentrado em alvos nas áreas de defesa, aviação e telecomunicações por meio de campanhas de phishing com temas de carreira, comumente chamadas de operações "Emprego dos Sonhos Iraniano". As táticas se assemelham bastante à Operação Emprego dos Sonhos, uma campanha de engenharia social de longa duração associada a agentes de ameaças norte-coreanos.

Entre fevereiro e abril de 2026, o grupo executou três ondas de campanha distintas sem interrupção, demonstrando um ritmo operacional agressivo durante o conflito regional.

Em fevereiro de 2026, funcionários de empresas de aviação e de software na Arábia Saudita e na Austrália receberam ofertas de emprego fraudulentas contendo arquivos ZIP hospedados no OnlyOffice. A abertura de um executável inofensivo dentro do arquivo ZIP desencadeou o sequestro do AppDomain, que, por fim, implantou o malware MiniJunk (DLL).

Em março de 2026, o agente malicioso adotou uma cadeia de infecção semelhante, mas incorporou um instalador trojanizado do Zoom ao processo. O malware provavelmente foi distribuído por meio de convites falsos para reuniões e, por fim, instalou o backdoor MiniFast, recém-identificado.

Em abril de 2026, a Nimbus Manticore introduziu uma estratégia completamente diferente, implementando técnicas de manipulação de SEO. Os operadores criaram uma página de download falsa, imitando o Oracle SQL Developer, e manipularam os rankings dos mecanismos de busca Bing e DuckDuckGo, registrando diversos domínios de apoio projetados para aumentar a visibilidade do site.

Este foi o primeiro caso conhecido em que o grupo abandonou o spearphishing tradicional em favor da distribuição de malware impulsionada por mecanismos de busca. Em vez de visar diretamente as vítimas por meio de e-mails enganosos, os atacantes esperaram que desenvolvedores e profissionais de TI buscassem online por softwares de uso comum antes de distribuir os instaladores infectados.

MiniFast Backdoor revela capacidades técnicas em expansão

O MiniFast, também conhecido como MiniUpdate, representa um grande avanço no arsenal de malware do Nimbus Manticore. Os pesquisadores descrevem o malware como uma porta dos fundos completa, projetada para acesso persistente, execução remota de comandos e operações de espionagem de longo prazo.

Antes de entrar em seu loop de comando, o malware transmite informações básicas do sistema para sua infraestrutura de comando e controle via HTTP. Em seguida, ele recupera continuamente instruções, envia resultados de execução, exfiltra arquivos e baixa cargas adicionais.

A porta dos fundos oferece suporte a uma ampla gama de funcionalidades, incluindo:

  • Manipulação de arquivos e enumeração de diretórios
  • Listagem de processos e encerramento forçado de processos via PID
  • Execução remota de comandos através do cmd.exe
  • Carregamento de DLL e criação de arquivo ZIP
  • Persistência através de tarefas agendadas
  • Elevação de privilégios usando o comando 'runas'
  • Intervalos de beacon ajustáveis com jitter configurável para randomizar as comunicações.

Os pesquisadores também observaram indícios de que ferramentas de codificação assistida por IA podem ter contribuído para o desenvolvimento do malware. As evidências incluem tratamento de erros incomumente verboso, lógica de programação defensiva excessiva, convenções de nomenclatura repetitivas, mensagens de status altamente detalhadas no estilo de depuração e estruturação de código modular incomum para malware dessa escala e complexidade.

Conflitos impulsionaram operações cibernéticas mais rápidas e abrangentes.

Especialistas em cibersegurança acreditam que as campanhas demonstram uma evolução operacional significativa para o Nimbus Manticore. Em vez de diminuir o ritmo durante conflitos geopolíticos ativos, o grupo expandiu tanto o ritmo quanto a sofisticação de suas atividades.

A rápida implantação de uma porta dos fundos recém-desenvolvida em meio a operações em andamento sugere ciclos acelerados de desenvolvimento de malware, potencialmente apoiados por ferramentas de inteligência artificial. Ao mesmo tempo, a transição do phishing direcionado para o envenenamento de SEO reflete uma ambição mais ampla que vai além das intrusões tradicionais focadas em espionagem no Oriente Médio.

Ao combinar operações de phishing, sequestro de AppDomain, desenvolvimento de malware assistido por IA e manipulação de mecanismos de busca em múltiplas ondas de campanha, o Nimbus Manticore demonstrou um modelo de ameaça altamente adaptável, capaz de evoluir rapidamente durante períodos de instabilidade geopolítica.

Tendendo

Mais visto

Carregando...