El actor de amenazas patrocinado por el estado iraní conocido como Nimbus Manticore (también conocido como Screening Serpens y UNC1549) ha sido atribuido a una nueva campaña que utiliza señuelos que se hacen pasar por organizaciones en los sectores de aviación y software en los EE. UU., Europa y Medio Oriente luego de la campaña militar conjunta entre EE. UU. e Israel contra el país a fines de febrero de 2026.
La actividad, además de adoptar técnicas no documentadas previamente y capacidades mejoradas, se caracteriza por el uso de una nueva puerta trasera con nombre en código MiniFast (también conocido como MiniUpdate) que parece haber sido desarrollada con ayuda de inteligencia artificial (IA), dijo Check Point en un análisis publicado la semana pasada.
Afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), Nimbus Manticore es mejor conocido por apuntar a los sectores de defensa, aviación y telecomunicaciones utilizando señuelos de phishing con temas profesionales. Estas campañas también han recibido el nombre en código de Trabajo de ensueño iraní, debido a similitudes tácticas con la Operación Trabajo de ensueño orquestada por piratas informáticos norcoreanos.
Las cadenas de ataques recientes vinculadas al actor de amenazas han sido testigos de un cambio en el oficio, como lo demuestra el uso del secuestro de AppDomain para entregar MiniJunk en febrero de 2026, seguido del despliegue de la puerta trasera MiniFast en marzo y la dependencia del envenenamiento de SEO para distribuir una versión troyanizada del software SQL Developer de Oracle en abril.
En la primera campaña observada antes del inicio de la guerra, los empleados de los sectores de software y aviación en Arabia Saudita y Australia fueron atacados con oportunidades profesionales falsas, engañándolos para que descargaran un archivo ZIP alojado en OnlyOffice. El lanzamiento de un ejecutable benigno dentro del archivo ZIP aprovechó una técnica conocida como secuestro de AppDomain para lanzar una DLL MiniJunk maliciosa.
Se ha descubierto que la campaña de marzo de 2026 siguió más o menos el mismo enfoque, solo que esta vez el actor de amenazas también utilizó un instalador de Zoom troyanizado como parte de la secuencia de ataque para lanzar el binario que luego aprovecha el secuestro de AppDomain para implementar MiniFast. Se sospecha que la actividad fue parte de una campaña de phishing que utilizaba invitaciones a reuniones falsas.
Hay indicios de que Nimbus Manticore utilizó el desarrollo asistido por IA para ayudar a crear MiniFast. Esto incluye un manejo excesivo de errores y lógica de programación defensiva, patrones repetitivos de nomenclatura de métodos y funciones con identificadores descriptivos o detallados, varias cadenas detalladas de informes de errores y mensajes de estado de estilo de depuración, y organización de código modular a pesar de la simplicidad general del malware.
Check Point dijo que también observó el mes pasado un sitio web falso que se hacía pasar por una página de descarga de SQL Developer, engañando a los visitantes que acceden a la página mediante envenenamiento de SEO para descargar un instalador armado que ofrece MiniFast. Este desarrollo marca la primera vez que el actor de amenazas recurre a este enfoque para la entrega de malware.
«Este método de entrega de malware difiere de las cadenas de infección habituales de Nimbus Manticore, que normalmente se basan en señuelos de phishing con temas profesionales», dijo la compañía. «En esta campaña, el actor abusa de las técnicas de optimización de motores de búsqueda al registrar docenas de dominios que enlazan con el dominio falso, getsqldeveloper(.)com. Es probable que esto sea un intento de aumentar la visibilidad del sitio a través de señales de reputación basadas en enlaces».
MiniFast se describe como una puerta trasera con todas las funciones diseñada para la persistencia a largo plazo y la ejecución remota de comandos. Se comunica con un servidor remoto a través de solicitudes HTTP para recuperar tareas, cargar resultados de ejecución de comandos, filtrar archivos y descargar carga útil adicional del servidor. Antes de ingresar al ciclo de tareas, el malware también transmite información básica del sistema al operador.
Los comandos admitidos por la puerta trasera son variados y permiten operaciones de archivos, listados de directorios, enumeración de procesos, ejecución de comandos a través de «cmd.exe», terminación de procesos usando su PID, carga de DLL, creación de archivos ZIP, persistencia a través de tareas programadas y escalada de privilegios a través del comando «runas».
La puerta trasera también admite la capacidad de actualizar el intervalo de sondeo y el valor de fluctuación aplicado a los intervalos de baliza para aleatorizar la frecuencia con la que se recuperan los comandos del servidor.
«Lo que destaca es que las ambiciones de este grupo se extendieron mucho más allá del espionaje dirigido en el Medio Oriente», dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research, en un comunicado compartido con The Hacker News. «Encontramos fuertes indicadores de que Nimbus Manticore utilizaba herramientas de inteligencia artificial para escribir malware más rápido».
«Construyeron e implementaron una nueva puerta trasera en medio del conflicto mientras las operaciones estaban en marcha activamente. También rastreamos una tercera ola de campaña utilizando un manual completamente diferente: envenenamiento de SEO».
«Crearon una página de descarga de SQL Developer falsa y la subieron a la cima de Bing y DuckDuckGo: sin phishing, sin ofertas de trabajo falsas, simplemente esperando a que un desarrollador busque software común. Y cuando mapeas las tres oleadas juntas, de febrero a abril, no hubo pausa. El conflicto no los ralentizó; en realidad, los aceleró».
La divulgación coincide con un informe de la Unidad 42 de Palo Alto Networks sobre los ataques del actor de amenazas a entidades en los EE. UU., Israel, los Emiratos Árabes Unidos y el Medio Oriente con MiniUpdate y una versión actualizada de MiniJunk llamada MiniJunk V2. Entre los objetivos del elaborado plan de espionaje se encontraba una empresa estadounidense de petróleo y gas.
Los hallazgos muestran que los actores de amenazas iraníes están siguiendo una página del manual de Corea del Norte para infiltrarse en organizaciones de interés y perseguir a sus empleados con oportunidades laborales lucrativas.
«El grupo ha aumentado sus operaciones desde el conflicto regional que comenzó en febrero de 2026, desplegando dos familias de variantes de RAT en entidades de hasta cinco países diferentes», dijeron los investigadores de la Unidad 42.
«Una característica definitoria de estas campañas recientes es la profunda personalización de los señuelos de los atacantes. Al aprovechar tácticas de ingeniería social personalizadas, incluidas solicitudes de trabajo falsas e invitaciones a reuniones de videoconferencias falsas, los atacantes atraen a las víctimas para que inicien la cadena de infección, exponiendo así a sus organizaciones a una mayor explotación».
El acontecimiento también se produce cuando se sospecha que piratas informáticos iraníes han llevado a cabo una serie de ataques dirigidos a lectores de tanques en estaciones de servicio en varios estados de EE. UU. Si bien los incidentes no causaron daños físicos o daños, han generado preocupaciones de que dicho acceso podría causar fugas de gas que no se detecten o crear otros riesgos para la infraestructura crítica.
«Los piratas informáticos responsables han explotado los sistemas automáticos de medición de tanques (ATG) que estaban en línea y desprotegidos por contraseñas, lo que les permitió en algunos casos modificar las lecturas de los tanques, pero no los niveles reales de combustible en ellos», informó CNN, citando fuentes anónimas.