Se cree que el actor de amenazas patrocinado por el estado iraní conocido como Nimbus Manticore (también conocido como Screening Serpens y UNC1549) participó en una nueva campaña utilizando señuelos que se hacían pasar por organizaciones de aviación y software en los Estados Unidos, Europa y Medio Oriente luego de la operación militar conjunta de Estados Unidos e Israel contra el país a fines de febrero de 2026.
Además de incorporar técnicas no documentadas previamente y funcionalidad mejorada, la campaña se caracteriza por el uso de una nueva puerta trasera con nombre en código MiniFast (también conocida como MiniUpdate) que parece haber sido desarrollada con la ayuda de inteligencia artificial (IA), dijo Check Point en un análisis publicado la semana pasada.
Nimbus Manticore, miembro del Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), es mejor conocido por atacar los sectores de defensa, aviación y comunicaciones utilizando señuelos de pesca con temática de portaaviones. Estas campañas también reciben el nombre en código de Iraní DreamJob debido a sus similitudes tácticas con la Operación DreamJob, que fue organizada por piratas informáticos norcoreanos.
Las cadenas de ataques recientes asociadas con este actor de amenazas han visto un cambio en el oficio, como lo demuestra el uso del secuestro de AppDomain para distribuir MiniJunk en febrero de 2026, seguido de la introducción de la puerta trasera MiniFast en marzo y la dependencia del envenenamiento de SEO para distribuir una versión troyanizada del software SQL Developer de Oracle en abril.
En la primera campaña, observada antes del inicio de la guerra, a los empleados de los sectores de software y aviación en Arabia Saudita y Australia se les ofrecieron oportunidades profesionales falsas y se les engañó para que descargaran archivos ZIP alojados en OnlyOffice. El lanzamiento de un ejecutable benigno dentro del archivo ZIP aprovechó una técnica conocida como secuestro de AppDomain para iniciar la DLL maliciosa MiniJunk.
Se descubrió que la campaña de marzo de 2026 siguió prácticamente el mismo enfoque, solo que esta vez los atacantes también utilizaron un instalador de Zoom troyanizado como parte de la secuencia de ataque para lanzar el binario y aprovechar el secuestro de AppDomain para implementar MiniFast. Se sospecha que esta actividad es parte de una campaña de phishing que utiliza invitaciones a reuniones falsas.
Existe evidencia de que Nimbus Manticore utilizó desarrollo asistido por IA para crear MiniFast. Esto incluye un manejo excesivo de errores y lógica de programación defensiva, patrones repetitivos de nomenclatura de métodos y funciones con identificadores descriptivos o redundantes, varias cadenas detalladas de informes de errores y mensajes de estado de estilo de depuración, y una estructura de código modular a pesar de la simplicidad general del malware.
Check Point dijo el mes pasado que también observó un sitio web falso que se hacía pasar por una página de descarga de SQL Developer y engañó a los visitantes que llegaban allí mediante envenenamiento de SEO para que descargaran un instalador armado que ofrecía MiniFast. Este desarrollo marca la primera vez que un actor de amenazas utiliza este enfoque para la distribución de malware.
«Este método de entrega de malware difiere de la cadena de infección habitual de Nimbus Manticore, que normalmente se basa en señuelos de phishing con temática de operador», dijo la compañía. «En esta campaña, los atacantes explotan técnicas de optimización de motores de búsqueda registrando docenas de dominios que enlazan con el dominio falso getqldeveloper(.)com. Esto puede ser un intento de aumentar la visibilidad del sitio a través de señales de reputación basadas en enlaces».
MiniFast se describe como una puerta trasera con todas las funciones diseñada para la persistencia a largo plazo y la ejecución remota de comandos. Se comunica con un servidor remoto a través de solicitudes HTTP para recuperar tareas, cargar resultados de ejecución de comandos, extraer archivos y descargar cargas útiles adicionales del servidor. Antes de entrar en el ciclo de tareas, el malware también envía información básica del sistema al operador.
La puerta trasera admite una amplia gama de comandos, lo que permite la manipulación de archivos, listado de directorios, enumeración de procesos, ejecución de comandos con ‘cmd.exe’, terminación de procesos usando PID, carga de DLL, creación de archivos ZIP, persistencia a través de tareas programadas y escalada de privilegios a través del comando ‘runas’.
La puerta trasera también admite la capacidad de actualizar el intervalo de sondeo y los valores de fluctuación aplicados al intervalo de baliza para aleatorizar la frecuencia con la que se recuperan los comandos del servidor.
«Lo sorprendente es que las ambiciones del grupo se extendieron mucho más allá del espionaje dirigido en Medio Oriente», dijo Sergey Shkevich, gerente del grupo de inteligencia de amenazas en Check Point Research, en un comunicado compartido con Hacker News. «Encontramos fuertes indicios de que Nimbus Manticore está utilizando herramientas de inteligencia artificial para crear malware más rápido».
«Construyeron e implementaron una puerta trasera completamente nueva mientras la operación estaba en marcha activamente durante el conflicto, y dimos seguimiento a la tercera ola de la campaña utilizando una estrategia completamente diferente: envenenamiento de SEO».
«Crearon una página de descarga de SQL Developer falsa y la subieron a la cima de Bing y DuckDuckGo. Sin phishing, sin ofertas de trabajo falsas, simplemente esperando a que los desarrolladores buscaran software común. Y cuando mapeamos las tres oleadas juntas de febrero a abril, no hubo interrupciones. Lejos de frenarlas, el conflicto en realidad las aceleró».
Esta divulgación es consistente con un informe de la Unidad 42 de Palo Alto Networks de que los actores de amenazas están utilizando una versión actualizada de MiniJunk llamada MiniUpdate y MiniJunk V2 para apuntar a organizaciones en los Estados Unidos, Israel, los Emiratos Árabes Unidos y el Medio Oriente. Las compañías estadounidenses de petróleo y gas se encontraban entre las empresas objetivo como parte del elaborado plan de espionaje.
Los hallazgos muestran que los actores de amenazas iraníes están tomando la estrategia de Corea del Norte desde cero para infiltrarse en organizaciones con fines de lucro ofreciendo oportunidades laborales bien remuneradas a sus empleados.
«El grupo ha aumentado sus actividades desde que comenzó el conflicto regional en febrero de 2026, desplegando dos familias de variantes RAT en toda su organización en hasta cinco países», dijeron los investigadores de la Unidad 42.
«Estas campañas recientes se caracterizan por un enfoque altamente personalizado para el reclutamiento de adversarios. Al aprovechar tácticas de ingeniería social personalizadas, como ofertas de trabajo falsas o invitaciones a videoconferencias falsificadas, los atacantes atraen a las víctimas a la cadena de infección, exponiendo así a las organizaciones a una mayor explotación».
El incidente se produce después de que se sospechara que piratas informáticos iraníes llevaron a cabo una serie de ataques contra líderes de tanques en estaciones de servicio en varios estados de EE. UU., y si bien los incidentes no causaron ningún daño o daño físico, generaron preocupaciones de que dicho acceso podría resultar en fugas de gas no detectadas u otros riesgos para la infraestructura crítica.
«Los piratas informáticos pudieron explotar los sistemas automatizados de medición de tanques (ATG) que estaban en línea y no protegidos con contraseña, y en algunos casos pudieron alterar las lecturas del tanque, pero no el nivel real de combustible en el tanque», informó CNN, citando fuentes anónimas.
Source link
