Zadnja vrata MiniFast
Iranski državno sponzorirani akter grožnje, znan kot Nimbus Manticore, povezan z Islamsko revolucionarno gardo, ki ga spremljajo tudi kot Screening Serpens in UNC1549, je po skupnih ameriško-izraelskih napadih na Iran februarja 2026 okrepil svoje kibernetske kampanje proti organizacijam v Združenih državah Amerike, Evropi in na Bližnjem vzhodu. Skupina je ciljala na podjetja v letalski in programski industriji z uporabo vse bolj sofisticiranih tehnik vdora in metod dostave zlonamerne programske opreme.
Varnostni raziskovalci so odkrili več operativnih sprememb, ki razlikujejo najnovejše kampanje od prejšnjih dejavnosti. Mednje spadajo uvedba novega stranskega vrata, imenovanega MiniFast, razširjena uporaba ugrabitve AppDomain in strateški premik k zastrupitvi z iskalniki (SEO) za okužbo žrtev prek lažnih portalov za prenos programske opreme. Analitiki so odkrili tudi kazalnike, ki kažejo, da je razvoj s pomočjo umetne inteligence morda pospešil nastanek zlonamerne programske opreme.
Kazalo
Od lažnih ponudb za delo do manipulacije z iskalniki
Nimbus Manticore se je v preteklosti osredotočal na obrambne, letalske in telekomunikacijske tarče s pomočjo phishing kampanj na temo kariere, ki jih običajno imenujemo operacije »iranska sanjska služba«. Taktike so zelo podobne operaciji Sanjska služba, dolgotrajni kampanji socialnega inženiringa, povezani s severnokorejskimi akterji grožnje.
Med februarjem in aprilom 2026 je skupina brez prekinitve izvedla tri različne kampanje, kar je med regionalnim konfliktom pokazalo agresiven operativni tempo.
Februarja 2026 so zaposleni v letalskih in programskih podjetjih v Savdski Arabiji in Avstraliji prejeli goljufive ponudbe za delo, ki so vsebovale ZIP arhive, gostovane na OnlyOffice. Odprtje neškodljive izvedljive datoteke znotraj arhiva je sprožilo ugrabitev AppDomain, ki je na koncu namestila zlonamerno programsko opremo DLL MiniJunk.
Marca 2026 je napadalec uporabil podobno verigo okužb, vendar je v postopek vključil namestitveni program Zoom s trojanskim konjem. Zlonamerna programska oprema se je verjetno širila prek lažnih povabil na sestanke in na koncu namestila novo odkrita zadnja vrata MiniFast.
Aprila 2026 je Nimbus Manticore predstavil povsem drugačno strategijo z uporabo tehnik zastrupljanja SEO. Operaterji so ustvarili ponarejeno stran za prenos, ki se je izdajala za Oracle SQL Developer, in manipulirali z uvrstitvami v iskalnikih Bing in DuckDuckGo z registracijo številnih podpornih domen, namenjenih povečanju vidnosti spletnega mesta.
To je bil prvi znani primer, v katerem je skupina opustila tradicionalno lažno predstavljanje v korist distribucije zlonamerne programske opreme prek iskalnikov. Namesto da bi neposredno ciljali na žrtve prek vab po e-pošti, so napadalci čakali, da razvijalci in IT-osebje poiščejo pogosto uporabljeno programsko opremo na spletu, preden so jim dostavili okužene namestitvene datoteke.
MiniFast Backdoor razkriva razširjene tehnične zmogljivosti
MiniFast, znan tudi kot MiniUpdate, predstavlja velik napredek v arzenalu zlonamerne programske opreme Nimbus Manticore. Raziskovalci opisujejo zlonamerno programsko opremo kot popolnoma opremljena zadnja vrata, zasnovana za trajen dostop, izvajanje oddaljenih ukazov in dolgoročne vohunske operacije.
Preden zlonamerna programska oprema vstopi v svojo ukazno zanko, prek HTTP-ja posreduje osnovne sistemske informacije svoji infrastrukturi za upravljanje in nadzor. Nato nenehno pridobiva navodila, nalaga rezultate izvajanja, izvleče datoteke in prenaša dodatne koristne podatke.
Zadnja vrata podpirajo širok nabor zmogljivosti, vključno z:
- Manipulacija datotek in naštevanje imenikov
- Seznam procesov in prisilna prekinitev procesa prek PID-a
- Izvajanje oddaljenih ukazov prek cmd.exe
- Nalaganje DLL in ustvarjanje ZIP arhiva
- Vztrajnost pri načrtovanih nalogah
- Povečevanje privilegijev z ukazom 'runas'
- Nastavljivi intervali svetilnikov z nastavljivim tresljajem za naključno razporejanje komunikacij
Raziskovalci so opazili tudi znake, da so orodja za kodiranje s pomočjo umetne inteligence morda prispevala k razvoju zlonamerne programske opreme. Dokazi vključujejo nenavadno podrobno obravnavanje napak, pretirano obrambno logiko programiranja, ponavljajoče se konvencije poimenovanja, zelo podrobna sporočila o stanju v slogu odpravljanja napak in modularno strukturiranje kode, kar je nenavadno za zlonamerno programsko opremo tega obsega in kompleksnosti.
Konflikt je spodbudil hitrejše in širše kibernetske operacije
Strokovnjaki za kibernetsko varnost menijo, da kampanje kažejo na pomemben operativni razvoj skupine Nimbus Manticore. Namesto da bi se med aktivnim geopolitičnim konfliktom upočasnila, je skupina povečala tako tempo kot tudi prefinjenost svojih dejavnosti.
Hitra namestitev novo razvitega zadnjega vrata sredi tekočih operacij kaže na pospešene cikle razvoja zlonamerne programske opreme, ki jih lahko podpirajo orodja umetne inteligence. Hkrati prehod od ciljno usmerjenega lažnega predstavljanja k zastrupitvi z iskalniki odraža širšo ambicijo, ki sega onkraj tradicionalnih vdorov, osredotočenih na vohunjenje, na Bližnjem vzhodu.
Z združevanjem phishing operacij, ugrabitve domen aplikacij, razvoja zlonamerne programske opreme s pomočjo umetne inteligence in manipulacije iskalnikov v več valovih kampanj je Nimbus Manticore pokazal zelo prilagodljiv model groženj, ki se lahko hitro razvija v obdobjih geopolitične nestabilnosti.
