イランのイスラム革命防衛隊（IRGC）と関連付けられている**Nimbus Manticore**（別名Screening Serpens、**UNC1549**）は、航空およびソフトウェア業界の組織を装った新たな一連の攻撃に関与しています。2026年2月下旬の米国とイスラエルの共同軍事行動以降に観測されたこれらのキャンペーンは、これまで文書化されていなかった技術と強化された能力を示しています。 ### MiniFastバックドアとAI支援 これらのキャンペーンの重要な要素は、**MiniFast**バックドア（別名MiniUpdate）です。**Check Point**の分析によると、その開発は人工知能（AI）によって支援された可能性があります。これは、マルウェアの広範なエラー処理、防御的プログラミングロジック、反復的な命名パターン、詳細なエラー報告、およびモジュラーコード構成によって裏付けられています。 ### 戦術の進化 キャリアをテーマにしたフィッシングの手法で防衛、航空、通信セクターを標的としていたことで知られる**Nimbus Manticore**は、その手口を変更しました。最近の攻撃では、2026年2月にAppDomainハイジャックを使用して**MiniJunk**を配信し、3月に**MiniFast**を展開し、4月にはSEOポイズニングを使用して**Oracle**のSQL Developerソフトウェアのトロイの木馬化されたバージョンを配布しました。 ### キャンペーンの詳細 * **紛争前キャンペーン:** サウジアラビアとオーストラリアのソフトウェアおよび航空セクターの従業員が、偽の求人機会を装って標的にされ、OnlyOfficeでホストされているZIPアーカイブをダウンロードさせられました。アーカイブには、AppDomainハイジャックを使用して悪意のある**MiniJunk** DLLを起動する無害な実行可能ファイルが含まれていました。 * **2026年3月キャンペーン:** このキャンペーンは以前のものと類似していましたが、トロイの木馬化されたZoomインストーラーも含まれており、バイナリを起動し、その後AppDomainハイジャックを介して**MiniFast**を展開しました。この活動は、偽の会議招待状を使用したフィッシングキャンペーンの一部であると考えられています。  ### SEOポイズニングとSQL Developerトロイの木馬 **Check Point**はまた、**Oracle**のSQL Developerダウンロードページを模倣した偽のウェブサイトを発見しました。SEOポイズニングを介してこのページに誘導された被害者は、**MiniFast**を配信する武器化されたインストーラーをダウンロードするように騙されました。これは、攻撃者がマルウェア配布にこの技術を使用した最初の事例です。 ### MiniFastの機能 **MiniFast**は、長期的な永続性とリモートコマンド実行のために設計されたフル機能のバックドアです。HTTPリクエストを介してリモートサーバーと通信し、タスクを取得し、コマンド実行結果をアップロードし、ファイルを外部に流出し、追加のペイロードをダウンロードします。マルウェアは、基本的なシステム情報もオペレーターにビーコンします。 バックドアは、ファイル操作、ディレクトリ一覧、プロセス列挙、「cmd.exe」を介したコマンド実行、プロセス終了、DLL読み込み、ZIPアーカイブ作成、スケジュールされたタスクによる永続化、および「runas」コマンドによる権限昇格など、さまざまなコマンドをサポートしています。また、ポーリング間隔とジッター値を更新して、ビーコン頻度をランダム化することもできます。  ### 専門家による分析 **Check Point Research**の脅威インテリジェンスグループマネージャーであるSergey Shykevich氏は、同グループの野心は中東での標的型諜報活動を超えていると指摘し、AIツールの使用がマルウェア開発を加速させていることを強調しました。彼は、紛争中の新しいバックドアの迅速な展開と、SEOポイズニング戦術への移行を強調しました。 ### Palo Alto Networksの発見 この開示は、**Palo Alto Networks** Unit 42のレポートと一致しており、米国、イスラエル、アラブ首長国連邦、および中東のエンティティが**MiniUpdate**と**MiniJunk**の更新バージョンである**MiniJunk V2**の標的になっていることを詳述しています。米国の石油・ガス企業も標的となった企業の一つでした。 **Check Point**は、**MiniJunk V2**が2026年2月と3月の両方のキャンペーンで観測されたことを確認しました。これらの発見は、北朝鮮が使用する戦術に類似した戦術を採用して組織に侵入しているイランの攻撃者の洗練度が増していることを浮き彫りにしています。  ### パーソナライズされたソーシャルエンジニアリング Unit 42の研究者は、偽の求人依頼やなりすましビデオ会議の招待状など、カスタマイズされたソーシャルエンジニアリング戦術を含む、攻撃者のルアーの深いパーソナライゼーションを強調しました。 ### 重要インフラストラクチャへの影響 これらの進展は、イランのハッカーが複数の米国の州のガソリンスタンドのタンクリーダーを標的にしたと疑われる攻撃に続いており、重要インフラストラクチャへの潜在的なリスクに対する懸念を高めています。