De door de Iraanse staat gesponsorde dreigingsacteur, bekend als Nimbus Manticore (ook bekend als Screening Serpens en UNC1549), wordt toegeschreven aan een nieuwe campagne waarbij gebruik wordt gemaakt van lokmiddelen die organisaties uit de luchtvaart- en softwaresector in de VS, Europa en het Midden-Oosten nabootsen na de gezamenlijke Amerikaans-Israëlische militaire campagne tegen het land eind februari 2026.
De activiteit wordt, naast het omarmen van voorheen ongedocumenteerde technieken en verbeterde mogelijkheden, gekenmerkt door het gebruik van een nieuwe achterdeur met de codenaam MiniFast (ook bekend als MiniUpdate) die lijkt te zijn ontwikkeld met behulp van kunstmatige intelligentie (AI), zei Check Point in een analyse die vorige week werd gepubliceerd.
Nimbus Manticore is aangesloten bij de Iraanse Islamitische Revolutionaire Garde (IRGC) en staat vooral bekend om het aanvallen van defensie-, luchtvaart- en telecommunicatiesectoren met behulp van phishing-lokmiddelen met carrièrethema. Deze campagnes hebben ook de codenaam Iraanse Dream Job gekregen, vanwege tactische overeenkomsten met Operatie Dream Job, georkestreerd door Noord-Koreaanse hackers.
Recente aanvalsketens die verband houden met de bedreigingsacteur zijn getuige geweest van een verschuiving in het vakmanschap, zoals blijkt uit het gebruik van AppDomain-kaping om MiniJunk te leveren in februari 2026, gevolgd door de inzet van de MiniFast-achterdeur in maart en een afhankelijkheid van SEO-vergiftiging om in april een getrojaniseerde versie van Oracle’s SQL Developer-software te verspreiden.
In de eerste campagne die vóór het uitbreken van de oorlog werd waargenomen, werden werknemers in de software- en luchtvaartsectoren in Saoedi-Arabië en Australië het doelwit van valse carrièremogelijkheden, waardoor ze werden verleid een ZIP-archief te downloaden dat op OnlyOffice werd gehost. Bij het starten van een goedaardig uitvoerbaar bestand in het ZIP-bestand werd gebruik gemaakt van een techniek die bekend staat als AppDomain-kaping om een frauduleuze MiniJunk DLL te starten.
De campagne van maart 2026 bleek min of meer dezelfde aanpak te volgen, maar deze keer gebruikte de bedreigingsacteur ook een getrojaniseerd Zoom-installatieprogramma als onderdeel van de aanvalsreeks om het binaire bestand te lanceren dat vervolgens gebruikmaakt van AppDomain-kaping om MiniFast te implementeren. Het vermoeden bestaat dat de activiteit deel uitmaakte van een phishing-campagne waarbij gebruik werd gemaakt van valse uitnodigingen voor vergaderingen.
Er zijn tekenen dat Nimbus Manticore AI-ondersteunde ontwikkeling heeft gebruikt om MiniFast te helpen creëren. Dit omvat buitensporige foutafhandeling en defensieve programmeerlogica, repetitieve functie- en methodenaamgevingspatronen met beschrijvende of uitgebreide identificatiegegevens, verschillende gedetailleerde foutrapportagereeksen en statusberichten in debug-stijl, en modulaire code-organisatie ondanks de algehele eenvoud van de malware.
Check Point zei dat het vorige maand ook een nepwebsite had waargenomen die zich voordeed als een downloadpagina voor SQL Developer, waarbij bezoekers die op de pagina terechtkwamen via SEO-vergiftiging werden misleid om een bewapend installatieprogramma te downloaden dat MiniFast levert. Deze ontwikkeling markeert de eerste keer dat de bedreigingsacteur zijn toevlucht neemt tot deze aanpak voor het leveren van malware.
“Deze methode voor het afleveren van malware verschilt van de gebruikelijke infectieketens van Nimbus Manticore, die doorgaans afhankelijk zijn van phishing-lokmiddelen met een carrièrethema”, aldus het bedrijf. “In deze campagne maakt de acteur misbruik van technieken voor zoekmachineoptimalisatie door tientallen domeinen te registreren die linken naar het nepdomein getqldeveloper(.)com. Dit is waarschijnlijk een poging om de zichtbaarheid van de site te vergroten via op links gebaseerde reputatiesignalen.”
MiniFast wordt beschreven als een volledig uitgeruste achterdeur die is ontworpen voor persistentie op de lange termijn en uitvoering van opdrachten op afstand. Het communiceert met een externe server via HTTP-verzoeken om taken op te halen, resultaten van opdrachtuitvoering te uploaden, bestanden te exfiltreren en extra payload van de server te downloaden. Voordat de malware de taaklus binnengaat, geeft de malware ook basissysteeminformatie door aan de operator.
De door de achterdeur ondersteunde opdrachten zijn gevarieerd, waardoor bestandsbewerkingen, directorylijsten, procesopsomming, uitvoering van opdrachten via “cmd.exe”, procesbeëindiging met behulp van de PID, het laden van DLL’s, het maken van ZIP-archieven, persistentie via geplande taken en escalatie van bevoegdheden via de opdracht “runas” mogelijk zijn.
De achterdeur ondersteunt ook de mogelijkheid om het polling-interval en de jitter-waarde die op bakenintervallen worden toegepast, bij te werken, om zo de frequentie waarmee opdrachten van de server worden opgehaald, willekeurig te maken.
“Wat opvalt is dat de ambities van deze groep veel verder reiken dan gerichte spionage in het Midden-Oosten”, zegt Sergey Shykevich, manager van de threat intelligence-groep bij Check Point Research, in een verklaring gedeeld met The Hacker News. “We hebben sterke aanwijzingen gevonden dat Nimbus Manticore AI-tools gebruikte om sneller malware te schrijven.”
“Ze bouwden en implementeerden een gloednieuwe achterdeur middenconflict terwijl de operaties actief aan de gang waren. We volgden ook een derde campagnegolf met behulp van een heel ander draaiboek: SEO-vergiftiging.”
“Ze bouwden een nep-downloadpagina voor SQL-ontwikkelaars en duwden deze naar de top van Bing en DuckDuckGo – geen spearphishing, geen nep-baanaanbieding, gewoon wachten tot een ontwikkelaar op zoek ging naar algemene software. En als je alle drie de golven samen in kaart bracht, van februari tot en met april, was er geen pauze. Het conflict vertraagde ze niet; het versnelde ze juist.”
De onthulling valt samen met een rapport van Palo Alto Networks Unit 42 over de aanvallen van de bedreigingsacteur op entiteiten in de VS, Israël, de Verenigde Arabische Emiraten en het Midden-Oosten met MiniUpdate en een bijgewerkte versie van MiniJunk genaamd MiniJunk V2. Onder de doelwitten als onderdeel van het uitgebreide spionageplan bevond zich een Amerikaans olie- en gasbedrijf.
De bevindingen tonen aan dat Iraanse dreigingsactoren een pagina uit het Noord-Koreaanse speelboek halen om interessante organisaties te infiltreren door achter hun werknemers aan te gaan met lucratieve vacatures.
“De groep heeft haar activiteiten uitgebreid sinds het regionale conflict dat in februari 2026 begon, door twee families van RAT-varianten in te zetten bij entiteiten in maximaal vijf verschillende landen”, aldus onderzoekers van Unit 42.
“Een bepalend kenmerk van deze recente campagnes is de diepgaande personalisatie van de aanvallers. Door gebruik te maken van op maat gemaakte social engineering-tactieken, waaronder valse vacatures en vervalste uitnodigingen voor videoconferenties, lokken de aanvallers slachtoffers om de infectieketen te initiëren, waardoor hun organisaties worden blootgesteld aan verdere uitbuiting.”
Deze ontwikkeling komt ook doordat Iraanse hackers ervan worden verdacht een reeks aanvallen te hebben uitgevoerd gericht op tanklezers bij benzinestations in meerdere staten in de VS. Hoewel de incidenten geen fysieke schade of schade hebben veroorzaakt, hebben ze wel aanleiding gegeven tot bezorgdheid dat dergelijke toegang er mogelijk toe zou kunnen leiden dat gaslekken onopgemerkt blijven of andere risico’s voor kritieke infrastructuur creëren.
“De verantwoordelijke hackers hebben automatische tankmetersystemen (ATG) misbruikt die online stonden en niet beschermd waren door wachtwoorden, waardoor ze in sommige gevallen konden sleutelen aan de displaygegevens op de tanks, maar niet aan de werkelijke brandstofniveaus erin”, meldde CNN, onder verwijzing naar niet nader genoemde bronnen.
