MiniFast Arka Kapı
İran devlet destekli tehdit aktörü olarak bilinen ve İslam Devrim Muhafızları Ordusu ile bağlantılı Nimbus Manticore (Screening Serpens ve UNC1549 olarak da takip ediliyor), Şubat 2026'da ABD-İsrail'in İran'a yönelik ortak saldırılarının ardından ABD, Avrupa ve Orta Doğu'daki kuruluşlara karşı siber kampanyalarını yoğunlaştırdı. Grup, giderek daha karmaşık sızma teknikleri ve kötü amaçlı yazılım dağıtım yöntemleri kullanarak havacılık ve yazılım sektörlerindeki şirketleri hedef aldı.
Güvenlik araştırmacıları, son kampanyaları önceki faaliyetlerden ayıran çeşitli operasyonel değişiklikler tespit etti. Bunlar arasında MiniFast adı verilen yeni bir arka kapı yazılımının kullanıma sunulması, AppDomain ele geçirme yönteminin yaygınlaştırılması ve kurbanları sahte yazılım indirme portalları aracılığıyla enfekte etmek için SEO zehirlenmesine yönelik stratejik bir yönelim yer alıyor. Analistler ayrıca, yapay zeka destekli geliştirmenin kötü amaçlı yazılımın oluşturulmasını hızlandırmış olabileceğini düşündüren göstergeler de keşfetti.
İçindekiler
Sahte İş Tekliflerinden Arama Motoru Manipülasyonuna
Nimbus Manticore, tarihsel olarak 'İran Rüya İşi' operasyonları olarak bilinen kariyer temalı kimlik avı kampanyaları aracılığıyla savunma, havacılık ve telekomünikasyon sektörlerini hedef almıştır. Taktikler, Kuzey Koreli tehdit aktörleriyle ilişkilendirilen uzun soluklu bir sosyal mühendislik kampanyası olan Rüya İşi Operasyonu'na oldukça benzemektedir.
Şubat ve Nisan 2026 arasında grup, bölgesel çatışma sırasında agresif bir operasyonel tempo sergileyerek, kesintisiz olarak üç ayrı harekat dalgası gerçekleştirdi.
Şubat 2026'da, Suudi Arabistan ve Avustralya'daki havacılık ve yazılım kuruluşlarında çalışanlar, OnlyOffice'te barındırılan ZIP arşivleri içeren sahte iş teklifleri aldılar. Arşivin içindeki zararsız bir yürütülebilir dosyanın açılması, AppDomain ele geçirilmesini tetikledi ve sonuç olarak MiniJunk kötü amaçlı yazılım DLL'si dağıtıldı.
Mart 2026'da, tehdit aktörü benzer bir enfeksiyon zinciri benimsedi ancak sürece truva atı bulaştırılmış bir Zoom yükleyicisi ekledi. Kötü amaçlı yazılımın muhtemelen sahte toplantı davetiyeleri aracılığıyla dağıtıldığı ve nihayetinde yeni tespit edilen MiniFast arka kapısını yüklediği düşünülüyor.
Nisan 2026'da Nimbus Manticore, SEO zehirleme tekniklerini kullanarak tamamen farklı bir strateji uygulamaya koydu. Operatörler, Oracle SQL Developer'ı taklit eden sahte bir indirme sayfası oluşturdu ve sitenin görünürlüğünü artırmak için tasarlanmış çok sayıda destekleyici alan adı kaydederek Bing ve DuckDuckGo'daki arama motoru sıralamalarını manipüle etti.
Bu, grubun geleneksel hedefli kimlik avı yöntemini terk ederek arama motoru odaklı kötü amaçlı yazılım dağıtımını tercih ettiği bilinen ilk örnekti. Saldırganlar, kurbanları doğrudan e-posta tuzaklarıyla hedef almak yerine, geliştiricilerin ve BT personelinin yaygın olarak kullanılan yazılımları çevrimiçi olarak aramalarını bekledikten sonra virüslü kurulum dosyalarını dağıttılar.
MiniFast Arka Kapısı, Genişleyen Teknik Yetenekleri Ortaya Koyuyor
MiniFast, diğer adıyla MiniUpdate, Nimbus Manticore'un kötü amaçlı yazılım cephaneliğinde önemli bir ilerlemeyi temsil ediyor. Araştırmacılar, bu kötü amaçlı yazılımı, kalıcı erişim, uzaktan komut yürütme ve uzun vadeli casusluk operasyonları için tasarlanmış, tam özellikli bir arka kapı olarak tanımlıyor.
Kötü amaçlı yazılım, komut döngüsüne girmeden önce temel sistem bilgilerini HTTP üzerinden komuta ve kontrol altyapısına iletir. Ardından sürekli olarak talimatları alır, yürütme sonuçlarını yükler, dosyaları sızdırır ve ek zararlı yazılımlar indirir.
Arka kapı, aşağıdakiler de dahil olmak üzere çok çeşitli yetenekleri desteklemektedir:
- Dosya işlemleri ve dizin numaralandırması
- PID aracılığıyla süreç listeleme ve zorunlu süreç sonlandırma
- cmd.exe aracılığıyla uzaktan komut yürütme
- DLL yükleme ve ZIP arşivi oluşturma
- Planlı görevler aracılığıyla azim
- 'runas' komutu kullanılarak ayrıcalık yükseltme
- İletişimi rastgele hale getirmek için yapılandırılabilir titreşimle ayarlanabilir işaret aralıkları
Araştırmacılar ayrıca, yapay zeka destekli kodlama araçlarının kötü amaçlı yazılımın gelişimine katkıda bulunmuş olabileceğine dair işaretler de gözlemledi. Kanıtlar arasında alışılmadık derecede ayrıntılı hata işleme, aşırı savunmacı programlama mantığı, tekrarlayan adlandırma kuralları, son derece ayrıntılı hata ayıklama tarzı durum mesajları ve bu ölçek ve karmaşıklıktaki kötü amaçlı yazılımlar için alışılmadık modüler kod yapısı yer alıyor.
Çatışmalar Siber Operasyonların Daha Hızlı ve Kapsamlı Hale Gelmesine Yol Açtı
Siber güvenlik uzmanları, bu kampanyaların Nimbus Manticore için önemli bir operasyonel evrimi gösterdiğine inanıyor. Grup, aktif jeopolitik çatışma sırasında yavaşlamak yerine, faaliyetlerinin hem hızını hem de karmaşıklığını artırdı.
Devam eden operasyonların ortasında yeni geliştirilen bir arka kapı yazılımının hızla devreye alınması, muhtemelen yapay zeka araçlarıyla desteklenen hızlandırılmış kötü amaçlı yazılım geliştirme döngülerine işaret etmektedir. Aynı zamanda, hedefli kimlik avından SEO zehirlenmesine geçiş, Orta Doğu'daki geleneksel casusluk odaklı sızmaların ötesine uzanan daha geniş bir amacı yansıtmaktadır.
Nimbus Manticore, kimlik avı operasyonlarını, uygulama alanı ele geçirmeyi, yapay zeka destekli kötü amaçlı yazılım geliştirmeyi ve arama motoru manipülasyonunu birden fazla kampanya dalgası boyunca birleştirerek, jeopolitik istikrarsızlık dönemlerinde hızla evrimleşebilen son derece uyarlanabilir bir tehdit modeli sergiledi.
