MiniFast Backdoor
一个名为“Nimbus Manticore”(又名 Screening Serpens 和 UNC1549)的伊朗国家支持的威胁组织,与伊朗伊斯兰革命卫队有关联,在2026年2月美国和以色列联合打击伊朗之后,加大了对美国、欧洲和中东地区组织的网络攻击力度。该组织利用日益复杂的入侵技术和恶意软件传播方式,攻击航空和软件行业的公司。
安全研究人员发现,最新攻击活动与以往活动相比,在操作层面发生了多项变化。这些变化包括引入名为 MiniFast 的新型后门、扩大了 AppDomain 劫持的使用范围,以及战略性地转向搜索引擎优化 (SEO) 攻击,通过虚假软件下载门户网站感染受害者。分析人员还发现一些迹象表明,人工智能辅助开发可能加速了恶意软件的创建。
目录
从虚假招聘信息到搜索引擎操纵
Nimbus Manticore 历来专注于国防、航空和电信领域的目标,通过以职业为主题的网络钓鱼活动进行攻击,这些活动通常被称为“伊朗梦想职业”行动。其策略与“梦想职业行动”(Operation Dream Job)极为相似,后者是一项与朝鲜威胁行为者相关的长期社会工程攻击活动。
2026 年 2 月至 4 月期间,该组织连续开展了三波不同的战役,展现了在地区冲突中积极的作战节奏。
2026年2月,沙特阿拉伯和澳大利亚的航空及软件公司员工收到了包含ZIP压缩文件的欺诈性招聘信息,这些压缩文件托管在OnlyOffice网站上。打开压缩文件中看似无害的可执行文件会触发AppDomain劫持,最终部署MiniJunk恶意软件DLL。
2026年3月,攻击者采用了类似的感染链,但这次在感染过程中加入了植入木马的Zoom安装程序。该恶意软件很可能是通过伪造的会议邀请传播的,并最终安装了新发现的MiniFast后门。
2026年4月,Nimbus Manticore公司采取了一种截然不同的策略,即利用搜索引擎优化(SEO)技术进行攻击。运营者创建了一个伪造的下载页面,冒充Oracle SQL Developer,并通过注册大量辅助域名来操纵Bing和DuckDuckGo等搜索引擎的排名,从而提升网站的曝光度。
这是该组织首次放弃传统的鱼叉式网络钓鱼,转而采用搜索引擎驱动的恶意软件传播方式。攻击者不再直接通过电子邮件诱饵锁定目标,而是等待开发人员和IT人员在网上搜索常用软件,然后再投放感染病毒的安装程序。
MiniFast 后门揭示了不断扩展的技术能力
MiniFast,又名MiniUpdate,代表了Nimbus Manticore恶意软件库的一项重大进步。研究人员将该恶意软件描述为一个功能齐全的后门程序,旨在实现持久访问、远程命令执行和长期间谍活动。
在进入命令循环之前,该恶意软件会通过 HTTP 协议向其命令与控制基础设施传输基本系统信息。然后,它会不断检索指令、上传执行结果、窃取文件并下载其他有效载荷。
该后门支持多种功能,包括:
- 文件操作和目录枚举
- 通过进程ID列出进程并强制终止进程
- 通过 cmd.exe 执行远程命令
- DLL加载和ZIP归档创建
- 通过计划任务实现持久性
- 使用“runas”命令进行权限提升
- 可调节的信标间隔和可配置的抖动,以实现通信的随机化。
研究人员还观察到一些迹象,表明人工智能辅助编码工具可能参与了该恶意软件的开发。证据包括异常冗长的错误处理、过多的防御性编程逻辑、重复的命名约定、高度详细的调试式状态信息,以及对于这种规模和复杂程度的恶意软件而言并不常见的模块化代码结构。
冲突加剧了更快、更广泛的网络行动
网络安全专家认为,这些行动表明“雨神曼提科尔”的行动模式发生了显著变化。该组织非但没有在激烈的地缘政治冲突中放慢脚步,反而加快了行动速度,并提高了行动的复杂性。
在行动进行中迅速部署新开发的后门程序,表明恶意软件的开发周期正在加速,这可能得益于人工智能工具的支持。与此同时,从定向网络钓鱼到搜索引擎优化(SEO)投毒的转变,反映出攻击者的野心远不止于在中东地区进行传统的间谍活动。
Nimbus Manticore 通过结合网络钓鱼、AppDomain 劫持、人工智能辅助恶意软件开发和搜索引擎操纵等手段,在多轮攻击活动中展现出高度适应性的威胁模型,能够在政治不稳定时期迅速演变。
