MiniFast Backdoor
Ang Iranian-sponsored na aktor ng banta na kilala bilang Islamic Revolutionary Guard Corps-linked Nimbus Manticore, na tinutukoy din bilang Screening Serpens at UNC1549, ay pinaigting ang mga kampanya nito sa cyber laban sa mga organisasyon sa Estados Unidos, Europa, at Gitnang Silangan kasunod ng magkasanib na pag-atake ng US-Israel sa Iran noong Pebrero 2026. Tinarget ng grupo ang mga kumpanya sa industriya ng abyasyon at software gamit ang lalong sopistikadong mga pamamaraan ng panghihimasok at mga pamamaraan ng paghahatid ng malware.
Natukoy ng mga mananaliksik sa seguridad ang ilang mga pagbabago sa operasyon na nagpapaiba sa mga pinakabagong kampanya mula sa mga naunang aktibidad. Kabilang dito ang pagpapakilala ng isang bagong backdoor na tinatawag na MiniFast, pinalawak na paggamit ng AppDomain hijacking, at isang estratehikong paglipat patungo sa SEO poisoning upang mahawa ang mga biktima sa pamamagitan ng mga pekeng software download portal. Natuklasan din ng mga analyst ang mga indikasyon na nagmumungkahi na ang pag-develop na tinutulungan ng artificial intelligence ay maaaring nagpabilis sa paglikha ng malware.
Talaan ng mga Nilalaman
Mula sa Pekeng Alok ng Trabaho Hanggang sa Manipulasyon ng Search Engine
Ang Nimbus Manticore ay nakatutok sa mga target sa depensa, abyasyon, at telekomunikasyon sa pamamagitan ng mga kampanyang phishing na may temang karera na karaniwang tinutukoy bilang mga operasyong 'Iranian Dream Job'. Ang mga taktika ay halos kapareho ng Operation Dream Job, isang matagal nang kampanyang social engineering na nauugnay sa mga aktor ng banta sa Hilagang Korea.
Sa pagitan ng Pebrero at Abril 2026, ang grupo ay nagsagawa ng tatlong magkakaibang alon ng kampanya nang walang pagkaantala, na nagpakita ng agresibong tempo ng operasyon sa panahon ng tunggalian sa rehiyon.
Noong Pebrero 2026, ang mga empleyado sa mga organisasyon ng abyasyon at software sa Saudi Arabia at Australia ay nakatanggap ng mga mapanlinlang na alok ng trabaho na naglalaman ng mga ZIP archive na naka-host sa OnlyOffice. Ang pagbubukas ng isang hindi masamang executable sa loob ng archive ay nag-trigger ng pag-hijack ng AppDomain, na kalaunan ay nag-deploy ng MiniJunk malware DLL.
Noong Marso 2026, gumamit ang banta ng katulad na kadena ng impeksyon ngunit nagsama ng isang trojanized na Zoom installer sa proseso. Malamang na ipinamahagi ang malware sa pamamagitan ng mga pekeng imbitasyon sa pagpupulong at sa huli ay nag-install ng bagong natukoy na MiniFast backdoor.
Noong Abril 2026, nagpakilala ang Nimbus Manticore ng ibang-ibang estratehiya sa pamamagitan ng paggamit ng mga pamamaraan ng SEO poisoning. Gumawa ang mga operator ng pekeng download page na nagpapanggap na Oracle SQL Developer at minanipula ang mga ranggo sa search engine sa Bing at DuckDuckGo sa pamamagitan ng pagrehistro ng maraming sumusuportang domain na idinisenyo upang mapalakas ang visibility ng site.
Ito ang unang kilalang pagkakataon kung saan tinalikuran ng grupo ang tradisyonal na spearphishing pabor sa pamamahagi ng malware na pinapagana ng search engine. Sa halip na direktang i-target ang mga biktima sa pamamagitan ng mga email lures, hinintay ng mga umaatake na maghanap ang mga developer at IT personnel ng mga karaniwang ginagamit na software online bago ihatid ang mga nahawaang installer.
Inihayag ng MiniFast Backdoor ang Lumalawak na Teknikal na Kakayahan
Ang MiniFast, kilala rin bilang MiniUpdate, ay kumakatawan sa isang malaking pagsulong sa arsenal ng malware ng Nimbus Manticore. Inilalarawan ng mga mananaliksik ang malware bilang isang ganap na tampok na backdoor na ginawa para sa patuloy na pag-access, remote command execution, at pangmatagalang operasyon ng paniniktik.
Bago pumasok sa command loop nito, ipinapadala ng malware ang pangunahing impormasyon ng system sa command-and-control infrastructure nito sa pamamagitan ng HTTP. Pagkatapos ay patuloy itong kumukuha ng mga instruksyon, nag-a-upload ng mga resulta ng pagpapatupad, nag-e-exfiltrate ng mga file, at nagda-download ng mga karagdagang payload.
Sinusuportahan ng backdoor ang malawak na hanay ng mga kakayahan, kabilang ang:
- Pagmamanipula ng file at pagbilang ng direktoryo
- Paglilista ng proseso at sapilitang pagtatapos ng proseso sa pamamagitan ng PID
- Malayuang pagpapatupad ng utos sa pamamagitan ng cmd.exe
- Paglo-load ng DLL at paglikha ng ZIP archive
- Pagtitiyaga sa pamamagitan ng mga nakatakdang gawain
- Pagpapataas ng pribilehiyo gamit ang utos na 'runas'
- Naaayos na mga agwat ng beacon na may nako-configure na jitter upang gawing random ang mga komunikasyon
Naobserbahan din ng mga mananaliksik ang mga palatandaan na ang mga AI-assisted coding tool ay maaaring nakatulong sa pag-unlad ng malware. Kabilang sa ebidensya ang hindi pangkaraniwang masinsinan na paghawak ng error, labis na defensive programming logic, paulit-ulit na mga kombensiyon sa pagpapangalan, mga detalyadong mensahe ng status na parang debug, at modular code structuring na hindi pangkaraniwan para sa malware na may ganitong laki at kasalimuotan.
Mas Mabilis at Mas Malawak na Operasyon sa Cyber ang Pinasigla ng Alitan
Naniniwala ang mga eksperto sa cybersecurity na ang mga kampanya ay nagpapakita ng isang makabuluhang ebolusyon sa operasyon para sa Nimbus Manticore. Sa halip na bumagal sa panahon ng aktibong tunggalian sa geopolitika, pinalawak ng grupo ang bilis at pagiging sopistikado ng mga aktibidad nito.
Ang mabilis na pag-deploy ng isang bagong binuong backdoor sa gitna ng patuloy na operasyon ay nagmumungkahi ng pinabilis na mga siklo ng pagbuo ng malware, na posibleng sinusuportahan ng mga kagamitang artificial intelligence. Kasabay nito, ang paglipat mula sa naka-target na phishing patungo sa SEO poisoning ay sumasalamin sa isang mas malawak na ambisyon na higit pa sa tradisyonal na mga panghihimasok na nakatuon sa paniniktik sa Gitnang Silangan.
Sa pamamagitan ng pagsasama-sama ng mga operasyon ng phishing, pag-hijack ng AppDomain, pagbuo ng malware na tinutulungan ng AI, at manipulasyon ng search engine sa maraming alon ng kampanya, ipinakita ng Nimbus Manticore ang isang lubos na adaptive na modelo ng banta na may kakayahang mabilis na umunlad sa mga panahon ng kawalang-tatag ng geopolitical.
