MiniFast Backdoor
Иранска државна претња позната као Нимбус Мантикора, повезана са Корпусом исламске револуционарне гарде, такође праћена као Скрининг Серпенс и УНЦ1549, интензивирала је своје сајбер кампање против организација у Сједињеним Државама, Европи и Блиском истоку након заједничких америчко-израелских напада на Иран у фебруару 2026. године. Група је циљала компаније у ваздухопловној и софтверској индустрији користећи све софистицираније технике упада и методе испоруке злонамерног софтвера.
Истраживачи безбедности идентификовали су неколико оперативних промена које разликују најновије кампање од ранијих активности. То укључује увођење новог бекдора под називом MiniFast, проширену употребу отимања AppDomain-а и стратешки заокрет ка SEO тровању како би се жртве заразиле путем лажних портала за преузимање софтвера. Аналитичари су такође открили индикаторе који указују на то да је развој уз помоћ вештачке интелигенције можда убрзао стварање злонамерног софтвера.
Преглед садржаја
Од лажних понуда за посао до манипулације претраживачима
Нимбус Мантикора се историјски фокусирала на циљеве у одбрани, авијацији и телекомуникацијама кроз фишинг кампање са темом каријере, које се обично називају операцијама „Ирански посао из снова“. Тактике веома подсећају на операцију „Посао из снова“, дуготрајну кампању социјалног инжењеринга повезану са севернокорејским актерима претњи.
Између фебруара и априла 2026. године, група је извршила три различита таласа кампање без прекида, демонстрирајући агресиван оперативни темпо током регионалног сукоба.
У фебруару 2026. године, запослени у компанијама за ваздухопловство и софтвер у Саудијској Арабији и Аустралији добили су лажне понуде за посао које су садржале ZIP архиве хостоване на OnlyOffice-у. Отварање бенигног извршног фајла унутар архиве покренуло је отмицу AppDomain-а, што је на крају распоредило DLL малвера MiniJunk.
У марту 2026. године, претња је усвојила сличан ланац инфекције, али је у процес укључила тројанац за инсталацију Zoom-а. Злонамерни софтвер је вероватно дистрибуиран путем лажних позивница за састанке и на крају је инсталирао новоидентификовани задњи улаз MiniFast.
У априлу 2026. године, Нимбус Мантикоре је представио потпуно другачију стратегију применом техника тровања SEO-ом. Оператори су креирали лажну страницу за преузимање која се лажно представљала као Oracle SQL Developer и манипулисали рангирањем претраживача на Bing-у и DuckDuckGo-у региструјући бројне пратеће домене осмишљене да повећају видљивост сајта.
Ово је означило први познати случај у којем је група напустила традиционални „спеарфишинг“ у корист дистрибуције злонамерног софтвера путем претраживача. Уместо директног циљања жртава путем мамаца путем имејлова, нападачи су чекали да програмери и ИТ особље потраже често коришћени софтвер на мрежи пре него што су испоручили заражене инсталатере.
MiniFast Backdoor открива проширење техничких могућности
МиниФаст, такође познат као МиниАжурирање, представља велики напредак у арсеналу злонамерног софтвера Нимбус Мантикоре. Истраживачи описују злонамерни софтвер као потпуно функционалан задњи улаз (backdoor) пројектован за стални приступ, даљинско извршавање команди и дугорочне шпијунске операције.
Пре него што уђе у своју командну петљу, злонамерни софтвер преноси основне системске информације својој командно-контролној инфраструктури преко HTTP-а. Затим континуирано преузима инструкције, отпрема резултате извршавања, извлачи датотеке и преузима додатне корисне податке.
Бакдоор подржава широк спектар могућности, укључујући:
- Манипулација датотекама и набрајање директоријума
- Листање процеса и присилно завршетак процеса путем PID-а
- Даљинско извршавање команди путем cmd.exe
- Учитавање DLL-а и креирање ZIP архиве
- Истрајност кроз заказане задатке
- Ескалација привилегија помоћу команде „runas“
- Подесиви интервали сигнала са подесивим треперењем за насумично распоређивање комуникација
Истраживачи су такође приметили знаке да су алати за кодирање уз помоћ вештачке интелигенције могли допринети развоју малвера. Докази укључују необично детаљно руковање грешкама, прекомерну одбрамбену логику програмирања, понављајуће конвенције именовања, веома детаљне поруке о статусу у стилу отклањања грешака и модуларно структурирање кода неуобичајено за малвер ове величине и сложености.
Сукоб подстакао брже и шире сајбер операције
Стручњаци за сајбер безбедност верују да кампање показују значајну оперативну еволуцију за Нимбус Мантикор. Уместо да успори током активног геополитичког сукоба, група је проширила и темпо и софистицираност својих активности.
Брзо постављање новоразвијеног „задњег врата“ усред текућих операција указује на убрзане циклусе развоја злонамерног софтвера, потенцијално поткрепљене алатима вештачке интелигенције. Истовремено, прелазак са циљаног фишинга на тровање оптимизованим за претраживаче (SEO) одражава ширу амбицију која се протеже изван традиционалних упада усмерених на шпијунажу на Блиском истоку.
Комбиновањем фишинг операција, отмице AppDomain-а, развоја злонамерног софтвера уз помоћ вештачке интелигенције и манипулације претраживачима током вишеструких таласа кампање, Nimbus Manticore је демонстрирао високо адаптивни модел претње способан за брзу еволуцију током периода геополитичке нестабилности.
