Cửa hậu MiniFast
Nhóm tin tặc do nhà nước Iran bảo trợ, được biết đến với tên gọi Nimbus Manticore, có liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC), cũng được theo dõi với tên Screening Serpens và UNC1549, đã tăng cường các chiến dịch tấn công mạng nhằm vào các tổ chức ở Hoa Kỳ, châu Âu và Trung Đông sau các cuộc tấn công chung của Mỹ và Israel vào Iran hồi tháng 2 năm 2026. Nhóm này nhắm mục tiêu vào các công ty trong ngành hàng không và phần mềm bằng các kỹ thuật xâm nhập ngày càng tinh vi và các phương pháp phát tán phần mềm độc hại.
Các nhà nghiên cứu bảo mật đã xác định một số thay đổi về hoạt động giúp phân biệt các chiến dịch mới nhất với các hoạt động trước đó. Những thay đổi này bao gồm việc giới thiệu một phần mềm cửa hậu mới có tên MiniFast, mở rộng việc sử dụng chiếm đoạt tên miền ứng dụng (AppDomain hijacking), và chuyển hướng chiến lược sang tấn công SEO để lây nhiễm nạn nhân thông qua các cổng tải xuống phần mềm giả mạo. Các nhà phân tích cũng phát hiện ra các dấu hiệu cho thấy việc phát triển phần mềm độc hại có sự hỗ trợ của trí tuệ nhân tạo có thể đã đẩy nhanh quá trình tạo ra phần mềm này.
Mục lục
Từ những lời mời làm việc giả mạo đến thao túng công cụ tìm kiếm
Nhóm tin tặc Nimbus Manticore từ trước đến nay thường tập trung vào các mục tiêu quốc phòng, hàng không và viễn thông thông qua các chiến dịch lừa đảo qua email liên quan đến nghề nghiệp, thường được gọi là các hoạt động "Công việc mơ ước của Iran". Các chiến thuật này rất giống với Chiến dịch Dream Job, một chiến dịch kỹ thuật xã hội kéo dài nhiều năm có liên quan đến các tác nhân đe dọa từ Triều Tiên.
Từ tháng 2 đến tháng 4 năm 2026, nhóm này đã thực hiện ba đợt chiến dịch riêng biệt mà không bị gián đoạn, thể hiện nhịp độ hoạt động quyết liệt trong cuộc xung đột khu vực.
Vào tháng 2 năm 2026, nhân viên tại các tổ chức hàng không và phần mềm ở Ả Rập Xê Út và Úc đã nhận được các thư mời làm việc giả mạo chứa các tệp lưu trữ ZIP được lưu trữ trên OnlyOffice. Việc mở một tệp thực thi vô hại bên trong tệp lưu trữ đã kích hoạt việc chiếm quyền điều khiển AppDomain, cuối cùng dẫn đến việc triển khai phần mềm độc hại MiniJunk DLL.
Vào tháng 3 năm 2026, kẻ tấn công đã áp dụng một chuỗi lây nhiễm tương tự nhưng tích hợp thêm trình cài đặt Zoom bị mã độc Trojan vào quy trình. Phần mềm độc hại này có thể đã được phát tán thông qua các lời mời họp giả mạo và cuối cùng cài đặt phần mềm cửa hậu MiniFast mới được xác định.
Vào tháng 4 năm 2026, Nimbus Manticore đã giới thiệu một chiến lược hoàn toàn khác bằng cách sử dụng các kỹ thuật làm sai lệch thứ hạng SEO. Nhóm điều hành đã tạo ra một trang tải xuống giả mạo Oracle SQL Developer và thao túng thứ hạng tìm kiếm trên Bing và DuckDuckGo bằng cách đăng ký nhiều tên miền hỗ trợ được thiết kế để tăng khả năng hiển thị của trang web.
Đây là trường hợp đầu tiên được biết đến mà nhóm này từ bỏ hình thức tấn công lừa đảo truyền thống (spearphishing) để chuyển sang phát tán phần mềm độc hại thông qua công cụ tìm kiếm. Thay vì nhắm mục tiêu trực tiếp vào nạn nhân thông qua email dụ dỗ, những kẻ tấn công đã chờ đợi các nhà phát triển và nhân viên CNTT tìm kiếm các phần mềm thường dùng trên mạng trước khi phát tán các trình cài đặt bị nhiễm virus.
Lỗ hổng bảo mật MiniFast hé lộ khả năng kỹ thuật ngày càng mở rộng.
MiniFast, hay còn gọi là MiniUpdate, là một bước tiến lớn trong kho vũ khí phần mềm độc hại của Nimbus Manticore. Các nhà nghiên cứu mô tả phần mềm độc hại này là một cửa hậu đầy đủ tính năng được thiết kế để truy cập liên tục, thực thi lệnh từ xa và các hoạt động gián điệp dài hạn.
Trước khi đi vào vòng lặp lệnh, phần mềm độc hại truyền thông tin hệ thống cơ bản đến cơ sở hạ tầng điều khiển của nó qua giao thức HTTP. Sau đó, nó liên tục truy xuất các lệnh, tải lên kết quả thực thi, đánh cắp tập tin và tải xuống các phần mềm độc hại bổ sung.
Lỗ hổng bảo mật này hỗ trợ nhiều chức năng khác nhau, bao gồm:
- Thao tác tệp và liệt kê thư mục
- Liệt kê các tiến trình và buộc chấm dứt tiến trình thông qua PID
- Thực thi lệnh từ xa thông qua cmd.exe
- Tải DLL và tạo tệp lưu trữ ZIP
- Kiên trì thực hiện các nhiệm vụ đã lên lịch
- Tăng quyền truy cập bằng lệnh 'runas'
- Khoảng thời gian phát tín hiệu có thể điều chỉnh với độ trễ có thể cấu hình để ngẫu nhiên hóa quá trình liên lạc.
Các nhà nghiên cứu cũng quan sát thấy những dấu hiệu cho thấy các công cụ lập trình hỗ trợ trí tuệ nhân tạo có thể đã góp phần vào sự phát triển của phần mềm độc hại. Bằng chứng bao gồm việc xử lý lỗi quá chi tiết, logic lập trình phòng thủ dư thừa, quy ước đặt tên lặp đi lặp lại, thông báo trạng thái kiểu gỡ lỗi rất chi tiết và cấu trúc mã mô-đun không phổ biến đối với phần mềm độc hại có quy mô và độ phức tạp như vậy.
Xung đột thúc đẩy các hoạt động mạng diễn ra nhanh hơn và rộng hơn.
Các chuyên gia an ninh mạng tin rằng các chiến dịch này thể hiện sự phát triển đáng kể về mặt hoạt động của Nimbus Manticore. Thay vì giảm tốc độ trong các cuộc xung đột địa chính trị, nhóm này đã mở rộng cả tốc độ và mức độ tinh vi trong các hoạt động của mình.
Việc triển khai nhanh chóng một phần mềm độc hại mới được phát triển ngay giữa các hoạt động đang diễn ra cho thấy chu kỳ phát triển phần mềm độc hại đang được đẩy nhanh, có thể được hỗ trợ bởi các công cụ trí tuệ nhân tạo. Đồng thời, sự chuyển đổi từ tấn công lừa đảo có chủ đích sang tấn công làm suy yếu hoạt động SEO phản ánh tham vọng rộng lớn hơn, vượt ra ngoài các cuộc xâm nhập truyền thống tập trung vào hoạt động gián điệp ở Trung Đông.
Bằng cách kết hợp các hoạt động lừa đảo qua email, chiếm đoạt tên miền ứng dụng, phát triển phần mềm độc hại có sự hỗ trợ của trí tuệ nhân tạo và thao túng công cụ tìm kiếm trong nhiều đợt chiến dịch, Nimbus Manticore đã chứng minh một mô hình đe dọa có khả năng thích ứng cao, có thể nhanh chóng phát triển trong thời kỳ bất ổn địa chính trị.
