**Nimbus Manticore** (alias Screening Serpens et **UNC1549**), lié au Corps des Gardiens de la révolution islamique (IRGC) de l'Iran, a été attribué à une nouvelle vague d'attaques imitant des organisations dans les industries de l'aviation et des logiciels. Ces campagnes, observées après les actions militaires conjointes américano-israéliennes fin février 2026, présentent des techniques jusqu'alors non documentées et des capacités améliorées. ### Backdoor MiniFast et assistance IA Un élément clé de ces campagnes est la backdoor **MiniFast** (alias MiniUpdate). L'analyse de **Check Point** suggère que son développement a pu être aidé par l'intelligence artificielle (IA). Ceci est attesté par la gestion étendue des erreurs du malware, la logique de programmation défensive, les modèles de nommage répétitifs, le reporting détaillé des erreurs et l'organisation modulaire du code. ### Évolution des tactiques **Nimbus Manticore**, connu pour cibler les secteurs de la défense, de l'aviation et des télécommunications avec des leurres de phishing à thème professionnel rappelant l'**Opération Dream Job** de la Corée du Nord, a modifié son savoir-faire. Des attaques récentes ont utilisé le détournement d'AppDomain pour livrer **MiniJunk** en février 2026, suivi du déploiement de **MiniFast** en mars, et du piratage de SEO pour distribuer une version troyenne du logiciel SQL Developer d'**Oracle** en avril. ### Détails de la campagne * **Campagne pré-conflit :** Des employés des secteurs des logiciels et de l'aviation en Arabie saoudite et en Australie ont été ciblés avec de fausses offres d'emploi, les amenant à télécharger une archive ZIP hébergée sur OnlyOffice. L'archive contenait un exécutable bénin qui utilisait le détournement d'AppDomain pour lancer une DLL malveillante **MiniJunk**. * **Campagne de mars 2026 :** Cette campagne a été similaire à la précédente mais incluait également un installateur Zoom troyen pour lancer le binaire, qui déployait ensuite **MiniFast** via le détournement d'AppDomain. L'activité est considérée comme faisant partie d'une campagne de phishing utilisant de fausses invitations de réunion.  ### Piratage de SEO et Trojan SQL Developer **Check Point** a également découvert un faux site Web imitant la page de téléchargement SQL Developer d'**Oracle**. Les victimes qui ont atterri sur la page via le piratage de SEO ont été trompées en téléchargeant un installateur armé qui a livré **MiniFast**. C'est la première fois que l'acteur de menace utilise cette technique pour la distribution de malware. ### Capacités de MiniFast **MiniFast** est une backdoor complète conçue pour une persistance à long terme et l'exécution de commandes à distance. Elle communique avec un serveur distant via des requêtes HTTP pour récupérer des tâches, télécharger les résultats d'exécution des commandes, exfiltrer des fichiers et télécharger des payloads supplémentaires. Le malware envoie également des informations système de base à l'opérateur. La backdoor prend en charge diverses commandes, notamment les opérations sur les fichiers, les listes de répertoires, l'énumération des processus, l'exécution de commandes via "cmd.exe", la terminaison de processus, le chargement de DLL, la création d'archives ZIP, la persistance via des tâches planifiées et l'escalade de privilèges via la commande "runas". Elle peut également mettre à jour l'intervalle de polling et la valeur de jitter pour randomiser la fréquence des beacons.  ### Analyse d'experts Sergey Shykevich, responsable du groupe de renseignement sur les menaces chez **Check Point Research**, a noté que les ambitions du groupe vont au-delà de l'espionnage ciblé au Moyen-Orient, soulignant l'utilisation d'outils d'IA pour accélérer le développement de malware. Il a mis l'accent sur le déploiement rapide d'une nouvelle backdoor pendant un conflit actif et le passage aux tactiques de piratage de SEO. ### Conclusions de Palo Alto Networks Cette divulgation correspond à un rapport de **Palo Alto Networks** Unit 42, qui détaille le ciblage d'entités aux États-Unis, en Israël, aux Émirats arabes unis et au Moyen-Orient avec **MiniUpdate** et une version mise à jour de **MiniJunk** appelée **MiniJunk V2**. Une entreprise américaine de pétrole et de gaz figurait parmi les ciblées. **Check Point** a confirmé que **MiniJunk V2** a été observé dans les campagnes de février et mars 2026. Ces conclusions soulignent la sophistication croissante des acteurs de menace iraniens, qui adoptent des tactiques similaires à celles utilisées par la Corée du Nord pour infiltrer les organisations.  ### Ingénierie sociale personnalisée Les chercheurs de Unit 42 ont souligné la personnalisation approfondie des leurres des attaquants, qui incluent des tactiques d'ingénierie sociale sur mesure telles que de fausses requêtes d'emploi et des invitations de réunion vidéo spoofées. ### Implications pour les infrastructures critiques Ces développements font suite à des attaques suspectées par des hackers iraniens ciblant des lecteurs de cartes de crédit dans des stations-service à travers plusieurs États américains, suscitant des inquiétudes quant aux risques potentiels pour les infrastructures critiques.