**Nimbus Manticore** (também conhecido como Screening Serpens e **UNC1549**), ligado à Guarda Revolucionária Islâmica do Irã (IRGC), foi atribuído a uma nova onda de ataques que se passam por organizações nas indústrias de aviação e software. Essas campanhas, observadas após as ações militares conjuntas EUA-Israel no final de fevereiro de 2026, exibem técnicas anteriormente não documentadas e capacidades aprimoradas. ### Backdoor MiniFast e Assistência de IA Um elemento chave dessas campanhas é o backdoor **MiniFast** (também conhecido como MiniUpdate). A análise da **Check Point** sugere que seu desenvolvimento pode ter sido auxiliado por inteligência artificial (IA). Isso é evidenciado pelo extenso tratamento de erros do malware, lógica de programação defensiva, padrões de nomenclatura repetitivos, relatórios de erro detalhados e organização de código modular. ### Evolução das Táticas O **Nimbus Manticore**, conhecido por mirar os setores de defesa, aviação e telecomunicações com iscas de phishing com tema de carreira que lembram a **Operation Dream Job** da Coreia do Norte, mudou seu modus operandi. Ataques recentes utilizaram o sequestro de AppDomain para entregar o **MiniJunk** em fevereiro de 2026, seguido pela implantação do **MiniFast** em março, e envenenamento de SEO para distribuir uma versão trojanizada do software SQL Developer da **Oracle** em abril. ### Detalhes da Campanha * **Campanha Pré-Conflito:** Funcionários dos setores de software e aviação na Arábia Saudita e Austrália foram alvos de falsas oportunidades de emprego, levando-os a baixar um arquivo ZIP hospedado no OnlyOffice. O arquivo continha um executável benigno que usou o sequestro de AppDomain para lançar uma DLL maliciosa do **MiniJunk**. * **Campanha de Março de 2026:** Esta campanha espelhou a anterior, mas também incluiu um instalador trojanizado do Zoom para lançar o binário, que então implantou o **MiniFast** via sequestro de AppDomain. A atividade é acreditada como parte de uma campanha de phishing usando convites falsos para reuniões.  ### Envenenamento de SEO e Trojan do SQL Developer A **Check Point** também descobriu um site falso se passando pela página de download do SQL Developer da **Oracle**. Vítimas que acessaram a página via envenenamento de SEO foram enganadas a baixar um instalador armado que entregou o **MiniFast**. Esta marca a primeira vez que o ator de ameaças usou essa técnica para distribuição de malware. ### Capacidades do MiniFast O **MiniFast** é um backdoor completo projetado para persistência de longo prazo e execução remota de comandos. Ele se comunica com um servidor remoto via requisições HTTP para buscar tarefas, enviar resultados de execução de comandos, exfiltrar arquivos e baixar payloads adicionais. O malware também envia informações básicas do sistema para o operador. O backdoor suporta vários comandos, incluindo operações de arquivo, listagem de diretórios, enumeração de processos, execução de comandos via "cmd.exe", término de processos, carregamento de DLL, criação de arquivos ZIP, persistência via tarefas agendadas e escalonamento de privilégios via comando "runas". Ele também pode atualizar o intervalo de polling e o valor de jitter para randomizar a frequência do beacon.  ### Análise de Especialistas Sergey Shykevich, gerente do grupo de inteligência de ameaças da **Check Point Research**, observou que as ambições do grupo vão além da espionagem direcionada no Oriente Médio, destacando o uso de ferramentas de IA para acelerar o desenvolvimento de malware. Ele enfatizou a rápida implantação de um novo backdoor durante um conflito ativo e a mudança para táticas de envenenamento de SEO. ### Descobertas da Palo Alto Networks A divulgação está alinhada com um relatório da Unit 42 da **Palo Alto Networks**, que detalha o direcionamento de entidades nos EUA, Israel, Emirados Árabes Unidos e Oriente Médio com **MiniUpdate** e uma versão atualizada do **MiniJunk** chamada **MiniJunk V2**. Uma empresa de petróleo e gás dos EUA estava entre os alvos. A **Check Point** confirmou que o **MiniJunk V2** foi observado em ambas as campanhas de fevereiro e março de 2026. Essas descobertas ressaltam a crescente sofisticação dos atores de ameaças iranianos, que estão adotando táticas semelhantes às usadas pela Coreia do Norte para infiltrar organizações.  ### Engenharia Social Personalizada Pesquisadores da Unit 42 enfatizaram a profunda personalização das iscas dos atacantes, que incluem táticas de engenharia social personalizadas, como requisições de emprego falsas e convites para videoconferências falsificados. ### Implicações para Infraestrutura Crítica Esses desenvolvimentos seguem ataques suspeitos de hackers iranianos visando leitores de tanques em postos de gasolina em vários estados dos EUA, levantando preocupações sobre riscos potenciais para a infraestrutura crítica.