MiniFast Hintertür
Die vom iranischen Staat unterstützte Bedrohungsgruppe Nimbus Manticore, die mit den Islamischen Revolutionsgarden in Verbindung steht und auch unter den Namen Screening Serpens und UNC1549 bekannt ist, hat ihre Cyberkampagnen gegen Organisationen in den Vereinigten Staaten, Europa und dem Nahen Osten nach den gemeinsamen US-israelischen Angriffen auf den Iran im Februar 2026 intensiviert. Die Gruppe zielte mit zunehmend ausgefeilten Eindringtechniken und Malware-Verbreitungsmethoden auf Unternehmen der Luftfahrt- und Softwarebranche ab.
Sicherheitsforscher identifizierten mehrere operative Änderungen, die die jüngsten Kampagnen von früheren Aktivitäten unterscheiden. Dazu gehören die Einführung einer neuen Hintertür namens MiniFast, die verstärkte Nutzung von AppDomain-Hijacking und eine strategische Neuausrichtung hin zu SEO-Poisoning, um Opfer über gefälschte Software-Downloadportale zu infizieren. Analysten entdeckten zudem Hinweise darauf, dass die Entwicklung mithilfe künstlicher Intelligenz die Erstellung der Malware beschleunigt haben könnte.
Inhaltsverzeichnis
Von gefälschten Stellenangeboten bis hin zur Suchmaschinenmanipulation
Nimbus Manticore konzentrierte sich in der Vergangenheit auf Ziele aus den Bereichen Verteidigung, Luftfahrt und Telekommunikation und führte dafür berufsbezogene Phishing-Kampagnen durch, die gemeinhin als „Iranische Traumjob“-Operationen bekannt sind. Die Taktiken ähneln stark der Operation Traumjob, einer langjährigen Social-Engineering-Kampagne, die mit nordkoreanischen Akteuren in Verbindung gebracht wird.
Zwischen Februar und April 2026 führte die Gruppe drei unterschiedliche Kampagnenwellen ohne Unterbrechung durch und demonstrierte damit ein aggressives operatives Tempo während des regionalen Konflikts.
Im Februar 2026 erhielten Mitarbeiter von Luftfahrt- und Softwareunternehmen in Saudi-Arabien und Australien betrügerische Stellenangebote, die ZIP-Archive enthielten, die auf OnlyOffice gehostet wurden. Das Öffnen einer harmlosen ausführbaren Datei im Archiv löste eine AppDomain-Übernahme aus, die letztendlich die MiniJunk-Malware-DLL auslöste.
Im März 2026 nutzte der Angreifer eine ähnliche Infektionskette, integrierte jedoch einen manipulierten Zoom-Installer. Die Schadsoftware wurde vermutlich über gefälschte Meeting-Einladungen verbreitet und installierte schließlich die neu identifizierte MiniFast-Backdoor.
Im April 2026 verfolgte Nimbus Manticore eine völlig andere Strategie und setzte dabei SEO-Manipulationstechniken ein. Die Betreiber erstellten eine gefälschte Downloadseite, die sich als Oracle SQL Developer ausgab, und manipulierten die Suchmaschinenplatzierungen bei Bing und DuckDuckGo, indem sie zahlreiche unterstützende Domains registrierten, um die Sichtbarkeit der Seite zu erhöhen.
Dies war der erste bekannte Fall, in dem die Gruppe von traditionellem Spear-Phishing abwich und stattdessen auf die Verbreitung von Schadsoftware über Suchmaschinen setzte. Anstatt Opfer direkt per E-Mail anzugreifen, warteten die Angreifer, bis Entwickler und IT-Mitarbeiter online nach gängiger Software suchten, bevor sie infizierte Installationsdateien auslieferten.
MiniFast-Hintertür enthüllt erweiterte technische Fähigkeiten
MiniFast, auch bekannt als MiniUpdate, stellt eine bedeutende Weiterentwicklung im Malware-Arsenal von Nimbus Manticore dar. Forscher beschreiben die Malware als vollwertige Backdoor, die für dauerhaften Zugriff, die Ausführung von Befehlen aus der Ferne und langfristige Spionageoperationen entwickelt wurde.
Bevor die Malware in ihre Befehlsschleife eintritt, übermittelt sie grundlegende Systeminformationen über HTTP an ihre Kommando- und Kontrollinfrastruktur. Anschließend ruft sie kontinuierlich Anweisungen ab, lädt Ausführungsergebnisse hoch, exfiltriert Dateien und lädt zusätzliche Nutzdaten herunter.
Die Hintertür unterstützt eine Vielzahl von Funktionen, darunter:
- Dateimanipulation und Verzeichnisaufzählung
- Prozessauflistung und erzwungene Prozessbeendigung über PID
- Fernbefehlsausführung über cmd.exe
- DLL-Laden und ZIP-Archiv-Erstellung
- Beharrlichkeit durch geplante Aufgaben
- Rechteausweitung mittels des Befehls 'runas'
- Einstellbare Beacon-Intervalle mit konfigurierbarem Jitter zur Randomisierung der Kommunikation
Die Forscher beobachteten zudem Anzeichen dafür, dass KI-gestützte Codierungswerkzeuge zur Entwicklung der Schadsoftware beigetragen haben könnten. Zu den Indizien zählen eine ungewöhnlich ausführliche Fehlerbehandlung, übermäßige defensive Programmierlogik, sich wiederholende Namenskonventionen, sehr detaillierte Statusmeldungen im Debug-Stil sowie eine für Schadsoftware dieser Größenordnung und Komplexität ungewöhnliche modulare Codestruktur.
Konflikte befeuerten schnellere und umfassendere Cyberoperationen
Cybersicherheitsexperten sehen in den Kampagnen eine bedeutende operative Weiterentwicklung von Nimbus Manticore. Anstatt in Zeiten aktiver geopolitischer Konflikte nachzulassen, steigerte die Gruppe sowohl das Tempo als auch die Raffinesse ihrer Aktivitäten.
Die rasche Implementierung einer neu entwickelten Hintertür inmitten laufender Operationen deutet auf beschleunigte Malware-Entwicklungszyklen hin, die möglicherweise durch KI-Tools unterstützt werden. Gleichzeitig spiegelt der Übergang von gezieltem Phishing zu SEO-Poisoning ein umfassenderes Bestreben wider, das über traditionelle, auf Spionage ausgerichtete Angriffe im Nahen Osten hinausgeht.
Durch die Kombination von Phishing-Operationen, AppDomain-Hijacking, KI-gestützter Malware-Entwicklung und Suchmaschinenmanipulation über mehrere Kampagnenwellen hinweg demonstrierte Nimbus Manticore ein hochgradig anpassungsfähiges Bedrohungsmodell, das sich in Zeiten geopolitischer Instabilität schnell weiterentwickeln kann.
