Rabattoffert för flera licenser
Hotdatabas Bakdörrar MiniFast bakdörr

MiniFast bakdörr

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT)
Översätt till:

Den iranska statssponsrade hotaktören känd som Nimbus Manticore, kopplad till Islamiska revolutionsgardet och även känd som Screening Serpens och UNC1549, har intensifierat sina cyberkampanjer mot organisationer i USA, Europa och Mellanöstern efter de gemensamma amerikansk-israeliska attackerna mot Iran i februari 2026. Gruppen riktade in sig på företag inom flyg- och mjukvaruindustrin med hjälp av alltmer sofistikerade intrångstekniker och leveransmetoder för skadlig kod.

Säkerhetsforskare identifierade flera operativa förändringar som skiljer de senaste kampanjerna från tidigare aktivitet. Dessa inkluderar införandet av en ny bakdörr som kallas MiniFast, utökad användning av AppDomain-kapning och en strategisk satsning mot SEO-förgiftning för att infektera offer via falska programvaruportaler. Analytiker upptäckte också indikatorer som tyder på att utveckling med hjälp av artificiell intelligens kan ha accelererat skapandet av skadlig kod.

Från falska jobberbjudanden till sökmotormanipulation

Nimbus Manticore har historiskt sett fokuserat på mål inom försvar, flyg och telekommunikation genom karriärrelaterade nätfiskekampanjer, vanligtvis kallade "iranska drömjobbet". Taktikerna liknar starkt Operation Dream Job, en långvarig social ingenjörskonstkampanj kopplad till nordkoreanska hotaktörer.

Mellan februari och april 2026 genomförde gruppen tre distinkta kampanjvågor utan avbrott, vilket visade på ett aggressivt operativt tempo under den regionala konflikten.

I februari 2026 fick anställda inom flyg- och mjukvaruorganisationer i Saudiarabien och Australien bedrägliga jobberbjudanden som innehöll ZIP-arkiv som lagrades på OnlyOffice. Att öppna en godartad körbar fil i arkivet utlöste en kapning av AppDomain, vilket i slutändan distribuerade DLL-filen för skadlig kod MiniJunk.

I mars 2026 antog hotbilden en liknande infektionskedja men integrerade ett trojanbesatt Zoom-installationsprogram i processen. Skadlig programvara distribuerades troligen via falska mötesinbjudningar och installerade slutligen den nyligen identifierade MiniFast-bakdörren.

I april 2026 introducerade Nimbus Manticore en helt annan strategi genom att använda SEO-förgiftningstekniker. Operatörerna skapade en förfalskad nedladdningssida som utgav sig för att vara Oracle SQL Developer och manipulerade sökmotorrankningar på Bing och DuckDuckGo genom att registrera ett flertal stödjande domäner utformade för att öka webbplatsens synlighet.

Detta markerade det första kända fallet där gruppen övergav traditionell spearphishing till förmån för sökmotordriven distribution av skadlig kod. Istället för att direkt rikta in sig på offren via e-postförsök, väntade angriparna på att utvecklare och IT-personal skulle söka efter vanligt förekommande programvara online innan de levererade infekterade installationsprogram.

MiniFast-bakdörren avslöjar utökade tekniska möjligheter

MiniFast, även känt som MiniUpdate, representerar ett stort framsteg i Nimbus Manticores arsenal av skadlig kod. Forskare beskriver skadlig kod som en fullfjädrad bakdörr konstruerad för ihållande åtkomst, fjärrkörning av kommandon och långsiktiga spionageoperationer.

Innan den skadliga programvaran går in i sin kommandoslinga överför den grundläggande systeminformation till sin kommando- och kontrollinfrastruktur via HTTP. Den hämtar sedan kontinuerligt instruktioner, laddar upp exekveringsresultat, exfiltrerar filer och laddar ner ytterligare nyttolaster.

Bakdörren stöder ett brett utbud av funktioner, inklusive:

  • Filmanipulation och kataloguppräkning
  • Processlistning och tvångsavslutning av processer via PID
  • Fjärrkommandokörning via cmd.exe
  • DLL-inläsning och skapande av ZIP-arkiv
  • Uthållighet genom schemalagda uppgifter
  • Privilegieupptrappning med kommandot 'runas'
  • Justerbara beaconintervall med konfigurerbart jitter för att slumpmässigt fördela kommunikationen

Forskarna observerade också tecken på att AI-assisterade kodningsverktyg kan ha bidragit till skadlig programvaras utveckling. Bevisen inkluderar ovanligt utförlig felhantering, överdriven defensiv programmeringslogik, repetitiva namngivningskonventioner, mycket detaljerade statusmeddelanden i felsökningsstil och modulär kodstrukturering som är ovanlig för skadlig programvara av denna skala och komplexitet.

Konflikt underblåste snabbare och bredare cyberoperationer

Cybersäkerhetsexperter anser att kampanjerna visar på en betydande operativ utveckling för Nimbus Manticore. Istället för att sakta ner under aktiv geopolitisk konflikt ökade gruppen både takten och sofistikeringen av sina aktiviteter.

Den snabba utrullningen av en nyutvecklad bakdörr mitt under pågående operationer tyder på accelererade utvecklingscykler för skadlig kod, potentiellt understödda av verktyg för artificiell intelligens. Samtidigt återspeglar övergången från riktad nätfiske till SEO-förgiftning en bredare ambition som sträcker sig bortom traditionella spionagefokuserade intrång i Mellanöstern.

Genom att kombinera nätfiskeoperationer, kapning av AppDomain, utveckling av AI-assisterad skadlig kod och manipulation av sökmotorer över flera kampanjvågor, demonstrerade Nimbus Manticore en mycket anpassningsbar hotmodell som kan utvecklas snabbt under perioder av geopolitisk instabilitet.

Trendigt

Säkerhetsuppdatering för att identifiera betrodda...

Nätfiske, Spam
Oväntade e-postmeddelanden som kräver omedelbara åtgärder bör alltid behandlas med försiktighet, särskilt när de involverar säkerhetsvarningar för konton eller förfrågningar om att verifiera personlig information. Cyberbrottslingar döljer ofta nätfiskemeddelanden som officiella aviseringar för att manipulera mottagare att avslöja känslig information. E-postmeddelandena "Säkerhetsuppdatering för...

Mest sedda

Läser in...