MiniFast Backdoor
Aktori i kërcënimit iranian i sponsorizuar nga shteti, i njohur si Nimbus Manticore i lidhur me Trupat e Gardës Revolucionare Islamike, i ndjekur gjithashtu si Screening Serpens dhe UNC1549, ka intensifikuar fushatat e tij kibernetike kundër organizatave në Shtetet e Bashkuara, Evropë dhe Lindjen e Mesme pas sulmeve të përbashkëta SHBA-Izrael ndaj Iranit në shkurt 2026. Grupi shënjestroi kompanitë në industritë e aviacionit dhe softuerëve duke përdorur teknika gjithnjë e më të sofistikuara ndërhyrjeje dhe metoda të shpërndarjes së malware-it.
Studiuesit e sigurisë identifikuan disa ndryshime operative që dallojnë fushatat e fundit nga aktivitetet e mëparshme. Këto përfshijnë futjen e një dere të re të pasme të quajtur MiniFast, përdorimin e zgjeruar të rrëmbimit të AppDomain dhe një kthesë strategjike drejt helmimit SEO për të infektuar viktimat përmes portaleve të rreme të shkarkimit të softuerëve. Analistët zbuluan gjithashtu tregues që sugjerojnë se zhvillimi i asistuar nga inteligjenca artificiale mund të ketë përshpejtuar krijimin e malware-it.
Tabela e Përmbajtjes
Nga ofertat e rreme të punës te manipulimi i motorëve të kërkimit
Nimbus Manticore historikisht është përqendruar në objektiva të mbrojtjes, aviacionit dhe telekomunikacionit përmes fushatave të phishing-ut me tematikë karriere, të cilat zakonisht quhen operacionet 'Puna e Ëndrrës Iraniane'. Taktikat i ngjajnë shumë Operacionit Puna e Ëndrrës, një fushatë e gjatë inxhinierie sociale e lidhur me aktorët kërcënues të Koresë së Veriut.
Midis shkurtit dhe prillit 2026, grupi ekzekutoi tre valë të dallueshme fushatash pa ndërprerje, duke demonstruar një ritëm agresiv operativ gjatë konfliktit rajonal.
Në shkurt të vitit 2026, punonjësit në organizatat e aviacionit dhe softuerëve në Arabinë Saudite dhe Australi morën oferta pune mashtruese që përmbanin arkiva ZIP të vendosura në OnlyOffice. Hapja e një skedari ekzekutues të dëmshëm brenda arkivit shkaktoi rrëmbimin e AppDomain, i cili në fund të fundit vendosi DLL-në e malware MiniJunk.
Në mars të vitit 2026, aktori kërcënues përdori një zinxhir të ngjashëm infeksioni, por përfshiu në proces një instalues të Zoom të trojanizuar. Malware-i ka të ngjarë të jetë shpërndarë përmes ftesave të rreme për takime dhe në fund të fundit ka instaluar derën e pasme MiniFast të identifikuar rishtazi.
Në prill të vitit 2026, Nimbus Manticore prezantoi një strategji krejtësisht të ndryshme duke përdorur teknika të helmimit SEO. Operatorët krijuan një faqe shkarkimi të falsifikuar duke u shtirur si Oracle SQL Developer dhe manipuluan renditjen e motorëve të kërkimit në Bing dhe DuckDuckGo duke regjistruar domene të shumta mbështetëse të dizajnuara për të rritur dukshmërinë e faqes.
Kjo shënoi rastin e parë të njohur në të cilin grupi braktisi spearphishing-un tradicional në favor të shpërndarjes së malware-it të drejtuar nga motorët e kërkimit. Në vend që të synonin drejtpërdrejt viktimat përmes joshjeve me email, sulmuesit pritën që zhvilluesit dhe personeli i IT-së të kërkonin softuer të përdorur zakonisht në internet përpara se të dërgonin instalues të infektuar.
MiniFast Backdoor Zbulon Zgjerimin e Aftësive Teknike
MiniFast, i njohur edhe si MiniUpdate, përfaqëson një përparim të madh në arsenalin e programeve keqdashëse të Nimbus Manticore. Studiuesit e përshkruajnë programet keqdashëse si një derë të pasme me funksione të plota të projektuar për akses të vazhdueshëm, ekzekutim komandash në distancë dhe operacione spiunazhi afatgjata.
Përpara se të hyjë në ciklin e komandës, programi keqdashës transmeton informacionin bazë të sistemit në infrastrukturën e tij të komandës dhe kontrollit nëpërmjet HTTP. Pastaj ai merr vazhdimisht udhëzime, ngarkon rezultatet e ekzekutimit, nxjerr skedarë dhe shkarkon ngarkesa shtesë.
Backdoor mbështet një gamë të gjerë aftësish, duke përfshirë:
- Manipulimi i skedarëve dhe numërimi i direktorive
- Renditja e proceseve dhe përfundimi i detyruar i procesit nëpërmjet PID-it
- Ekzekutimi i komandës në distancë përmes cmd.exe
- Ngarkimi i DLL-së dhe krijimi i arkivit ZIP
- Këmbëngulje përmes detyrave të planifikuara
- Përshkallëzimi i privilegjit duke përdorur komandën 'runas'
- Intervale të rregullueshme të sinjalizuesve me luhatje të konfigurueshme për të rastësuar komunikimet
Studiuesit vunë re gjithashtu shenja se mjetet e kodimit të asistuara nga inteligjenca artificiale mund të kenë kontribuar në zhvillimin e malware-it. Provat përfshijnë trajtimin e gabimeve jashtëzakonisht të hollësishëm, logjikën e tepërt të programimit mbrojtës, konventat e emërtimit përsëritëse, mesazhet e statusit shumë të detajuara në stilin e debugimit dhe strukturimin modular të kodit të pazakontë për malware të kësaj shkalle dhe kompleksiteti.
Konflikti nxiti operacione kibernetike më të shpejta dhe më të gjera
Ekspertët e sigurisë kibernetike besojnë se fushatat demonstrojnë një evolucion të rëndësishëm operacional për Nimbus Manticore. Në vend që të ngadalësohej gjatë konfliktit aktiv gjeopolitik, grupi zgjeroi si ritmin ashtu edhe sofistikimin e aktiviteteve të tij.
Vendosja e shpejtë e një dere të pasme të zhvilluar rishtazi në mes të operacioneve në vazhdim sugjeron cikle të përshpejtuara të zhvillimit të malware-ve, potencialisht të mbështetura nga mjetet e inteligjencës artificiale. Në të njëjtën kohë, kalimi nga phishing-u i synuar në helmimin SEO pasqyron një ambicie më të gjerë që shtrihet përtej ndërhyrjeve tradicionale të përqendruara në spiunazh në Lindjen e Mesme.
Duke kombinuar operacionet e phishing-ut, rrëmbimin e AppDomain, zhvillimin e malware-it të asistuar nga inteligjenca artificiale dhe manipulimin e motorëve të kërkimit në valë të shumta fushatash, Nimbus Manticore demonstroi një model kërcënimi shumë adaptiv të aftë të evoluojë me shpejtësi gjatë periudhave të paqëndrueshmërisë gjeopolitike.
