Бекдор MiniFast
Іранський державний кібератаки, відомі як пов'язані з Корпусом вартових ісламської революції Nimbus Manticore, також відстежувані як Screening Serpens та UNC1549, активізували свої кіберкампанії проти організацій у Сполучених Штатах, Європі та на Близькому Сході після спільних американо-ізраїльських ударів по Ірану в лютому 2026 року. Група атакувала компанії авіаційної та програмної галузей, використовуючи дедалі складніші методи вторгнення та методи доставки шкідливого програмного забезпечення.
Дослідники з безпеки виявили кілька операційних змін, які відрізняють останні кампанії від попередньої активності. До них належать впровадження нового бекдору під назвою MiniFast, розширення використання захоплення AppDomain та стратегічний перехід до SEO-отруєння для зараження жертв через портали завантаження фальшивого програмного забезпечення. Аналітики також виявили ознаки, що свідчать про те, що розробка за допомогою штучного інтелекту могла прискорити створення шкідливого програмного забезпечення.
Зміст
Від фальшивих пропозицій роботи до маніпуляцій у пошукових системах
«Німбус Мантикора» традиційно зосереджувався на цілях у сфері оборони, авіації та телекомунікацій за допомогою фішингових кампаній, пов’язаних з кар’єрою, які зазвичай називають операціями «Іранська робота мрії». Тактика дуже нагадує операцію «Робота мрії» – тривалу кампанію соціальної інженерії, пов’язану з північнокорейськими кіберзлочинцями.
Між лютим і квітнем 2026 року група без перерви здійснила три окремі хвилі кампанії, демонструючи агресивний оперативний темп під час регіонального конфлікту.
У лютому 2026 року співробітники авіаційних та програмних організацій у Саудівській Аравії та Австралії отримали шахрайські пропозиції роботи, що містили ZIP-архіви, розміщені на OnlyOffice. Відкриття безпечного виконуваного файлу всередині архіву призвело до захоплення AppDomain, що зрештою призвело до розгортання шкідливої DLL-бібліотеки MiniJunk.
У березні 2026 року зловмисник застосував аналогічний ланцюг зараження, але включив у процес троянську програму-інсталятор Zoom. Шкідливе програмне забезпечення, ймовірно, поширювалося через підроблені запрошення на зустрічі та зрештою встановило нещодавно виявлений бекдор MiniFast.
У квітні 2026 року Nimbus Manticore запровадила зовсім іншу стратегію, застосувавши методи SEO-отруєння. Оператори створили підроблену сторінку завантаження, яка видавала себе за Oracle SQL Developer, та маніпулювали рейтингами пошукових систем на Bing та DuckDuckGo, реєструючи численні допоміжні домени, призначені для підвищення видимості сайту.
Це був перший відомий випадок, коли група відмовилася від традиційного фішингу на користь розповсюдження шкідливого програмного забезпечення через пошукові системи. Замість того, щоб безпосередньо атакувати жертв за допомогою приманки електронною поштою, зловмисники чекали, поки розробники та ІТ-персонал шукають поширене програмне забезпечення в Інтернеті, перш ніж доставляти заражені інсталятори.
Бекдор MiniFast розкриває розширення технічних можливостей
MiniFast, також відомий як MiniUpdate, являє собою значне вдосконалення в арсеналі шкідливого програмного забезпечення Nimbus Manticore. Дослідники описують це шкідливе програмне забезпечення як повнофункціональний бекдор, розроблений для постійного доступу, віддаленого виконання команд та довгострокових шпигунських операцій.
Перш ніж увійти в цикл командування, шкідливе програмне забезпечення передає базову системну інформацію до своєї інфраструктури командування та управління через HTTP. Потім воно безперервно отримує інструкції, завантажує результати виконання, вилучає файли та завантажує додаткові корисні навантаження.
Бекдор підтримує широкий спектр можливостей, зокрема:
- Маніпулювання файлами та перерахування каталогів
- Список процесів та примусове завершення процесу через PID
- Віддалене виконання команд через cmd.exe
- Завантаження DLL та створення ZIP-архіву
- Наполегливість у виконанні запланованих завдань
- Ескалація привілеїв за допомогою команди 'runas'
- Регульовані інтервали маяків з налаштованим джиттером для рандомізації зв'язку
Дослідники також помітили ознаки того, що інструменти кодування за допомогою штучного інтелекту могли сприяти розвитку шкідливого програмного забезпечення. Докази включають надзвичайно багатослівну обробку помилок, надмірну захисну логіку програмування, повторювані правила іменування, дуже деталізовані повідомлення про стан у стилі налагодження та модульну структуру коду, що не є типовим для шкідливого програмного забезпечення такого масштабу та складності.
Конфлікт підживлював швидші та ширші кібероперації
Експерти з кібербезпеки вважають, що ці кампанії демонструють значну оперативну еволюцію Німбус Мантикори. Замість того, щоб уповільнювати темпи під час активного геополітичного конфлікту, група розширила як темпи, так і витонченість своєї діяльності.
Швидке розгортання нещодавно розробленого бекдору посеред поточних операцій свідчить про прискорені цикли розробки шкідливого програмного забезпечення, потенційно підтримувані інструментами штучного інтелекту. Водночас, перехід від цільового фішингу до SEO-отравлення відображає ширші амбіції, що виходять за рамки традиційних шпигунських вторгнень на Близькому Сході.
Поєднуючи фішингові операції, захоплення AppDomain, розробку шкідливого програмного забезпечення за допомогою штучного інтелекту та маніпуляції пошуковими системами протягом кількох хвиль кампанії, Nimbus Manticore продемонструвала високоадаптивну модель загроз, здатну швидко розвиватися в періоди геополітичної нестабільності.
