O threat actor patrocinado pelo Estado iraniano conhecido como Nimbus Manticore, também chamado de Screening Serpens e UNC1549, foi atribuído a uma nova campanha que usou iscas fingindo ser organizações dos setores de aviação e software em regiões dos Estados Unidos, da Europa e do Oriente Médio.
A ação veio na esteira da campanha militar conjunta entre Estados Unidos e Israel contra o país, no fim de fevereiro de 2026.
Segundo a Check Point, em análise publicada na semana passada, a atividade não só incorporou técnicas até então não documentadas e recursos mais avançados, como também passou a usar um novo backdoor codinome MiniFast, também conhecido como MiniUpdate.
A empresa afirma que há indícios de que o software foi desenvolvido com auxílio de inteligência artificial (AI).
Ligado à Guarda Revolucionária Islâmica do Irã, o IRGC, o Nimbus Manticore é mais conhecido por mirar setores de defesa, aviação e telecomunicações com campanhas de phishing baseadas em ofertas de emprego.
Essas operações também receberam o codinome Iranian Dream Job, em razão das semelhanças táticas com a Operation Dream Job, conduzida por hackers norte-coreanos.
Cadeias recentes de ataque associadas ao grupo mostram uma mudança no modo de operação.
Em fevereiro de 2026, o grupo usou sequestro de AppDomain para entregar o MiniJunk.
Em março, passou a empregar o backdoor MiniFast.
Já em abril, recorreu a SEO poisoning para distribuir uma versão trojanizada do software Oracle SQL Developer.
Na primeira campanha observada antes do início da guerra, funcionários dos setores de software e aviação na Arábia Saudita e na Austrália foram alvos de falsas oportunidades de carreira.
As vítimas eram levadas a baixar um arquivo ZIP hospedado no OnlyOffice.
Ao executar um binário aparentemente inofensivo dentro do ZIP, os atacantes exploravam uma técnica conhecida como sequestro de AppDomain para iniciar uma DLL maliciosa do MiniJunk.
A campanha de março de 2026 seguiu, em linhas gerais, a mesma abordagem.
Desta vez, porém, o threat actor também usou um instalador trojanizado do Zoom como parte da sequência de ataque para acionar o binário que, por sua vez, explorava o sequestro de AppDomain para implantar o MiniFast.
A suspeita é de que a atividade fazia parte de uma campanha de phishing com convites falsos para reuniões.
Há sinais de que o Nimbus Manticore usou desenvolvimento assistido por AI para criar o MiniFast.
Entre os indícios estão tratamento excessivo de erros e lógica de programação defensiva, padrões repetitivos na nomeação de funções e métodos com identificadores descritivos ou prolixos, várias cadeias detalhadas de relatório de erro e mensagens de status com aparência de depuração, além de uma organização modular do código, apesar da simplicidade geral do malware.
A Check Point informou ainda ter observado, no mês passado, um site falso que imitava uma página de download do SQL Developer.
Usuários que chegavam até ela por meio de SEO poisoning eram induzidos a baixar um instalador armado que entregava o MiniFast.
Foi a primeira vez que o threat actor recorreu a esse método para distribuir malware.
“Esse método de entrega de malware difere das cadeias de infecção usuais do Nimbus Manticore, que normalmente dependem de iscas de phishing com tema de carreira”, afirmou a empresa.
“Nesta campanha, o ator abusa de técnicas de otimização para mecanismos de busca ao registrar dezenas de domínios que apontam para o domínio falso getsqldeveloper[.]com.
A provável intenção é aumentar a visibilidade do site por meio de sinais de reputação baseados em links.”
O MiniFast é descrito como um backdoor completo, projetado para persistência de longo prazo e execução remota de comandos.
Ele se comunica com um servidor remoto por requisições HTTP para buscar tarefas, enviar resultados de execução de comandos, exfiltrar arquivos e baixar payloads adicionais do servidor.
Antes de entrar no ciclo de tarefas, o malware também envia informações básicas do sistema ao operador.
Os comandos suportados pelo backdoor são variados e permitem operações com arquivos, listagem de diretórios, enumeração de processos, execução de comandos por meio de cmd.exe, encerramento de processos via PID, carregamento de DLL, criação de arquivos ZIP, persistência por meio de tarefas agendadas e elevação de privilégios com o comando runas.
O backdoor também permite ajustar o intervalo de polling e o valor de jitter aplicados aos beacons, de modo a randomizar a frequência com que os comandos são recuperados do servidor.
“O que chama atenção é que as ambições desse grupo foram muito além da espionagem direcionada no Oriente Médio”, disse Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research.
“Encontramos fortes indícios de que o Nimbus Manticore usou ferramentas de AI para escrever malware mais rapidamente.”
“Eles construíram e implantaram um backdoor totalmente novo no meio do conflito, enquanto as operações ainda estavam em andamento.
Também acompanhamos uma terceira onda de campanha usando um manual completamente diferente: SEO poisoning.”
“Eles criaram uma página falsa de download do SQL Developer e a empurraram para o topo do Bing e do DuckDuckGo.
Sem spear phishing, sem oferta falsa de emprego, apenas esperando que um desenvolvedor pesquisasse um software comum.
E, quando você junta as três ondas, de fevereiro a abril, não houve pausa.
O conflito não os desacelerou; na verdade, acelerou.”
A revelação coincide com um relatório da Unit 42, da Palo Alto Networks, sobre o direcionamento do threat actor a entidades nos Estados Unidos, em Israel, nos Emirados Árabes Unidos e em outras partes do Oriente Médio com o MiniUpdate e uma versão atualizada do MiniJunk, chamada MiniJunk V2.
Entre os alvos da elaborada operação de espionagem estava uma empresa norte-americana de petróleo e gás.
As conclusões mostram que atores iranianos estão adotando uma estratégia parecida com a da Coreia do Norte para infiltrar organizações de interesse, mirando seus funcionários com oportunidades de emprego lucrativas.
“O grupo intensificou suas operações desde o conflito regional iniciado em fevereiro de 2026, implantando duas famílias de variantes de RAT em entidades de até cinco países diferentes”, disseram os pesquisadores da Unit 42.
“Uma característica definidora dessas campanhas recentes é a forte personalização das iscas usadas pelos atacantes.
Ao explorar táticas de engenharia social sob medida, incluindo falsas solicitações de contratação e convites fraudados para reuniões por videoconferência, os atacantes levam as vítimas a iniciar a cadeia de infecção, expondo suas organizações a exploração adicional.”
O caso também ocorre em meio à suspeita de que hackers iranianos tenham conduzido uma série de ataques contra leitores de tanques em postos de combustível em vários estados dos Estados Unidos.
Embora os incidentes não tenham causado danos físicos nem feridos, eles levantaram preocupações de que esse tipo de acesso possa fazer vazamentos de gás passarem despercebidos ou criar outros riscos para a infraestrutura crítica.
“Os hackers responsáveis exploraram sistemas automáticos de medição de tanques, conhecidos como ATG, que estavam expostos na internet e sem proteção por senha, permitindo em alguns casos alterar as leituras exibidas nos tanques, mas não os níveis reais de combustível”, informou a CNN, citando fontes não identificadas.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...