МиниФаст Бэкдор
Иранская государственная киберпреступная группировка, известная как связанная с Корпусом стражей исламской революции Nimbus Manticore, также отслеживаемая под названиями Screening Serpens и UNC1549, активизировала свои киберкампании против организаций в США, Европе и на Ближнем Востоке после совместных американо-израильских ударов по Ирану в феврале 2026 года. Группа атаковала компании в авиационной и программной отраслях, используя все более изощренные методы вторжения и способы доставки вредоносного ПО.
Исследователи в области безопасности выявили ряд оперативных изменений, отличающих последние кампании от предыдущих. К ним относятся внедрение нового бэкдора под названием MiniFast, расширенное использование перехвата AppDomain и стратегический поворот в сторону SEO-отражения для заражения жертв через поддельные порталы загрузки программного обеспечения. Аналитики также обнаружили признаки, указывающие на то, что разработка с использованием искусственного интеллекта могла ускорить создание вредоносного ПО.
Оглавление
От фальшивых предложений о работе до манипуляций в поисковых системах
Исторически сложилось так, что Nimbus Manticore фокусировалась на целях в оборонной, авиационной и телекоммуникационной отраслях, используя фишинговые кампании, связанные с карьерой, которые обычно называют операциями «Иранская работа мечты». Тактика очень похожа на операцию «Работа мечты», давнюю кампанию социальной инженерии, связанную с северокорейскими хакерами.
В период с февраля по апрель 2026 года группа провела три отдельных этапа кампании без перерыва, продемонстрировав агрессивный оперативный темп в ходе регионального конфликта.
В феврале 2026 года сотрудники авиационных и программных компаний в Саудовской Аравии и Австралии получили мошеннические предложения о работе, содержащие ZIP-архивы, размещенные на OnlyOffice. Открытие безобидного исполняемого файла внутри архива вызвало захват AppDomain, в результате чего был развернут вредоносный DLL-файл MiniJunk.
В марте 2026 года злоумышленник использовал аналогичную цепочку заражения, но включил в процесс троянизированный установщик Zoom. Вероятно, вредоносное ПО распространялось через поддельные приглашения на встречи и в конечном итоге установило недавно обнаруженный бэкдор MiniFast.
В апреле 2026 года Nimbus Manticore представила совершенно иную стратегию, применив методы SEO-атаки. Операторы создали поддельную страницу загрузки, имитирующую Oracle SQL Developer, и манипулировали позициями в поисковой выдаче Bing и DuckDuckGo, зарегистрировав множество вспомогательных доменов, предназначенных для повышения видимости сайта.
Это был первый известный случай, когда группа отказалась от традиционного целевого фишинга в пользу распространения вредоносного ПО через поисковые системы. Вместо того чтобы напрямую атаковать жертв с помощью электронных писем, злоумышленники ждали, пока разработчики и ИТ-специалисты найдут в интернете часто используемое программное обеспечение, прежде чем распространять зараженные установочные файлы.
Бэкдор MiniFast демонстрирует расширяющиеся технические возможности.
MiniFast, также известный как MiniUpdate, представляет собой значительный шаг вперед в арсенале вредоносных программ Nimbus Manticore. Исследователи описывают эту вредоносную программу как полнофункциональный бэкдор, разработанный для обеспечения постоянного доступа, удаленного выполнения команд и долгосрочных шпионских операций.
Перед входом в командный цикл вредоносная программа передает основную системную информацию своей инфраструктуре управления по протоколу HTTP. Затем она непрерывно получает инструкции, загружает результаты выполнения, извлекает файлы и скачивает дополнительные полезные нагрузки.
Бэкдор поддерживает широкий спектр возможностей, включая:
- Манипулирование файлами и перечисление каталогов
- Отображение списка процессов и принудительное завершение процессов по PID.
- Удаленное выполнение команд через cmd.exe
- Загрузка DLL-файлов и создание ZIP-архива
- Настойчивость в выполнении запланированных задач
- Повышение привилегий с помощью команды 'runas'
- Регулируемые интервалы между сигналами с настраиваемым дрожанием для рандомизации связи.
Исследователи также обнаружили признаки того, что инструменты программирования с поддержкой ИИ могли способствовать разработке вредоносного ПО. К таким признакам относятся необычно подробная обработка ошибок, избыточная логика защитного программирования, повторяющиеся соглашения об именовании, очень подробные сообщения о состоянии в стиле отладки и модульная структура кода, нехарактерная для вредоносных программ такого масштаба и сложности.
Конфликт подстегнул проведение более быстрых и масштабных кибер-операций.
Эксперты по кибербезопасности считают, что эти кампании демонстрируют значительную оперативную эволюцию Nimbus Manticore. Вместо того чтобы сбавлять темп во время активных геополитических конфликтов, группа увеличила как темп, так и уровень своей деятельности.
Быстрое внедрение недавно разработанного бэкдора в ходе текущих операций свидетельствует об ускорении циклов разработки вредоносного ПО, потенциально поддерживаемом инструментами искусственного интеллекта. В то же время переход от целенаправленного фишинга к SEO-отражению отражает более широкие амбиции, выходящие за рамки традиционных шпионских вторжений на Ближнем Востоке.
Объединив фишинговые операции, захват AppDomain, разработку вредоносного ПО с помощью ИИ и манипулирование поисковыми системами в рамках нескольких волн кампаний, Nimbus Manticore продемонстрировал высокоадаптивную модель угроз, способную быстро развиваться в периоды геополитической нестабильности.
