**Nimbus Manticore** (auch bekannt als Screening Serpens und **UNC1549**), das mit dem iranischen Korps der Islamischen Revolutionsgarde (IRGC) in Verbindung gebracht wird, wurde mit einer neuen Angriffswelle in Verbindung gebracht, bei der Organisationen in der Luftfahrt- und Softwarebranche imitiert werden. Diese Kampagnen, die nach den gemeinsamen US-israelischen Militäraktionen Ende Februar 2026 beobachtet wurden, zeigen bisher unbekannte Techniken und verbesserte Fähigkeiten. ### MiniFast Backdoor und KI-Unterstützung Ein Schlüsselelement dieser Kampagnen ist die **MiniFast**-Backdoor (auch bekannt als MiniUpdate). Die Analyse von **Check Point** deutet darauf hin, dass ihre Entwicklung möglicherweise durch künstliche Intelligenz (KI) unterstützt wurde. Dies zeigt sich in der umfangreichen Fehlerbehandlung der Malware, der defensiven Programmierlogik, den repetitiven Namensmustern, der detaillierten Fehlerberichterstattung und der modularen Codeorganisation. ### Evolution der Taktiken **Nimbus Manticore**, bekannt für die gezielte Angriffe auf Verteidigungs-, Luftfahrt- und Telekommunikationssektoren mit Phishing-Köder, die an Nordkoreas **Operation Dream Job** erinnern, hat seine Vorgehensweise geändert. Aktuelle Angriffe nutzten im Februar 2026 AppDomain-Hijacking zur Verbreitung von **MiniJunk**, gefolgt von der Bereitstellung von **MiniFast** im März und SEO-Poisoning zur Verteilung einer trojanisierten Version der SQL Developer-Software von **Oracle** im April. ### Kampagnendetails * **Kampagne vor dem Konflikt:** Mitarbeiter in den Sektoren Software und Luftfahrt in Saudi-Arabien und Australien wurden mit gefälschten Stellenangeboten ins Visier genommen, was sie zum Herunterladen eines ZIP-Archivs verleitete, das auf OnlyOffice gehostet wurde. Das Archiv enthielt eine harmlose ausführbare Datei, die AppDomain-Hijacking nutzte, um eine bösartige **MiniJunk**-DLL zu starten. * **Kampagne im März 2026:** Diese Kampagne spiegelte die vorherige wider, enthielt aber auch einen trojanisierten Zoom-Installer, um die Binärdatei zu starten, die dann **MiniFast** über AppDomain-Hijacking bereitstellte. Die Aktivität wird als Teil einer Phishing-Kampagne mit gefälschten Meeting-Einladungen vermutet.  ### SEO-Poisoning und SQL Developer Trojaner **Check Point** entdeckte auch eine gefälschte Website, die die Download-Seite von **Oracle**s SQL Developer nachahmte. Opfer, die über SEO-Poisoning auf die Seite gelangten, wurden dazu verleitet, einen präparierten Installer herunterzuladen, der **MiniFast** lieferte. Dies ist das erste Mal, dass der Akteur diese Technik zur Malware-Verbreitung einsetzt. ### MiniFast-Funktionen **MiniFast** ist eine voll ausgestattete Backdoor, die für langfristige Persistenz und die Ausführung von Remote-Befehlen entwickelt wurde. Sie kommuniziert über HTTP-Anfragen mit einem Remote-Server, um Aufgaben abzurufen, Ergebnisse der Befehlsausführung hochzuladen, Dateien zu exfiltrieren und zusätzliche Payloads herunterzuladen. Die Malware sendet auch grundlegende Systeminformationen an den Betreiber. Die Backdoor unterstützt verschiedene Befehle, darunter Dateioperationen, Verzeichnislisten, Prozessaufzählungen, Befehlsausführung über "cmd.exe", Prozessbeendigung, DLL-Laden, Erstellung von ZIP-Archiven, Persistenz über geplante Aufgaben und Privilegieneskalation über den "runas"-Befehl. Sie kann auch das Abfrageintervall und den Jitter-Wert aktualisieren, um die Häufigkeit der Beacon-Signale zu randomisieren.  ### Expertenanalyse Sergey Shykevich, Manager der Threat Intelligence Group bei **Check Point Research**, wies darauf hin, dass die Ambitionen der Gruppe über gezielte Spionage im Nahen Osten hinausgehen, und hob den Einsatz von KI-Tools zur Beschleunigung der Malware-Entwicklung hervor. Er betonte die schnelle Bereitstellung einer neuen Backdoor während eines aktiven Konflikts und die Verlagerung auf SEO-Poisoning-Taktiken. ### Erkenntnisse von Palo Alto Networks Die Enthüllung deckt sich mit einem Bericht von **Palo Alto Networks** Unit 42, der die gezielte Ansprache von Entitäten in den USA, Israel, den Vereinigten Arabischen Emiraten und dem Nahen Osten mit **MiniUpdate** und einer aktualisierten Version von **MiniJunk** namens **MiniJunk V2** beschreibt. Ein US-Unternehmen aus der Öl- und Gasbranche gehörte zu den Zielen. **Check Point** bestätigte, dass **MiniJunk V2** sowohl in den Kampagnen im Februar als auch im März 2026 beobachtet wurde. Diese Erkenntnisse unterstreichen die zunehmende Raffinesse iranischer Akteure, die Taktiken ähnlich denen Nordkoreas anwenden, um in Organisationen einzudringen.  ### Personalisierte Social-Engineering-Angriffe Die Forscher von Unit 42 betonten die tiefe Personalisierung der Köder der Angreifer, die maßgeschneiderte Social-Engineering-Taktiken wie gefälschte Stellenanforderungen und gefälschte Einladungen zu Videokonferenzen umfassen. ### Auswirkungen auf kritische Infrastrukturen Diese Entwicklungen folgen auf mutmaßliche Angriffe iranischer Hacker auf Tankstellen-Lesegeräte in mehreren US-Bundesstaaten und wecken Bedenken hinsichtlich potenzieller Risiken für kritische Infrastrukturen.