**Nimbus Manticore** (también conocido como Screening Serpens y **UNC1549**), vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, ha sido atribuido a una nueva ola de ataques que suplantan a organizaciones de las industrias de la aviación y el software. Estas campañas, observadas después de las acciones militares conjuntas de EE. UU. e Israel a fines de febrero de 2026, muestran técnicas no documentadas previamente y capacidades mejoradas. ### Backdoor MiniFast y Asistencia de IA Un elemento clave de estas campañas es la backdoor **MiniFast** (también conocida como MiniUpdate). El análisis de **Check Point** sugiere que su desarrollo pudo haber sido asistido por inteligencia artificial (IA). Esto se evidencia en el extenso manejo de errores del malware, la lógica de programación defensiva, los patrones de nombres repetitivos, la generación de informes de errores detallados y la organización de código modular. ### Evolución de Tácticas **Nimbus Manticore**, conocido por atacar los sectores de defensa, aviación y telecomunicaciones con señuelos de phishing temáticos de carreras, reminiscentes de la **Operación Dream Job** de Corea del Norte, ha cambiado su modus operandi. Ataques recientes han utilizado el secuestro de AppDomain para distribuir **MiniJunk** en febrero de 2026, seguido del despliegue de **MiniFast** en marzo, y el envenenamiento de SEO para distribuir una versión troyanizada del software SQL Developer de **Oracle** en abril. ### Detalles de la Campaña * **Campaña Pre-Conflicto:** Empleados en los sectores de software y aviación en Arabia Saudita y Australia fueron blanco de ofertas de empleo falsas, lo que los llevó a descargar un archivo ZIP alojado en OnlyOffice. El archivo contenía un ejecutable benigno que utilizó el secuestro de AppDomain para lanzar una DLL maliciosa de **MiniJunk**. * **Campaña de Marzo de 2026:** Esta campaña reflejó la anterior, pero también incluyó un instalador troyanizado de Zoom para lanzar el binario, que luego desplegó **MiniFast** a través del secuestro de AppDomain. Se cree que la actividad es parte de una campaña de phishing que utiliza invitaciones a reuniones falsas.  ### Envenenamiento de SEO y Troyanización de SQL Developer **Check Point** también descubrió un sitio web falso que suplantaba la página de descargas de SQL Developer de **Oracle**. Las víctimas que llegaron a la página a través del envenenamiento de SEO fueron engañadas para descargar un instalador armado que entregó **MiniFast**. Esta es la primera vez que el actor de amenazas utiliza esta técnica para la distribución de malware. ### Capacidades de MiniFast **MiniFast** es una backdoor completa diseñada para persistencia a largo plazo y ejecución remota de comandos. Se comunica con un servidor remoto a través de solicitudes HTTP para obtener tareas, cargar resultados de ejecución de comandos, exfiltrar archivos y descargar payloads adicionales. El malware también envía información básica del sistema al operador. La backdoor admite varios comandos, incluidas operaciones de archivos, listados de directorios, enumeración de procesos, ejecución de comandos a través de "cmd.exe", terminación de procesos, carga de DLL, creación de archivos ZIP, persistencia a través de tareas programadas y escalada de privilegios a través del comando "runas". También puede actualizar el intervalo de sondeo y el valor de jitter para aleatorizar la frecuencia de las señales.  ### Análisis de Expertos Sergey Shykevich, gerente del grupo de inteligencia de amenazas en **Check Point Research**, señaló que las ambiciones del grupo se extienden más allá del espionaje dirigido en Medio Oriente, destacando el uso de herramientas de IA para acelerar el desarrollo de malware. Enfatizó el rápido despliegue de una nueva backdoor durante un conflicto activo y el cambio a tácticas de envenenamiento de SEO. ### Hallazgos de Palo Alto Networks La divulgación se alinea con un informe de la Unidad 42 de **Palo Alto Networks**, que detalla el ataque a entidades en EE. UU., Israel, los Emiratos Árabes Unidos y Medio Oriente con **MiniUpdate** y una versión actualizada de **MiniJunk** llamada **MiniJunk V2**. Una empresa de petróleo y gas de EE. UU. se encontraba entre las atacadas. **Check Point** confirmó que **MiniJunk V2** fue observado en las campañas de febrero y marzo de 2026. Estos hallazgos subrayan la creciente sofisticación de los actores de amenazas iraníes, que están adoptando tácticas similares a las utilizadas por Corea del Norte para infiltrarse en organizaciones.  ### Ingeniería Social Personalizada Los investigadores de Unit 42 enfatizaron la profunda personalización de los señuelos de los atacantes, que incluyen tácticas de ingeniería social adaptadas como solicitudes de empleo falsas e invitaciones a reuniones de videoconferencia falsificadas. ### Implicaciones para la Infraestructura Crítica Estos desarrollos siguen a presuntos ataques de hackers iraníes dirigidos a lectores de tanques en gasolineras en varios estados de EE. UU., lo que genera preocupaciones sobre los riesgos potenciales para la infraestructura crítica.