Nhóm đe dọa được chính phủ Iran bảo trợ với tên gọi Nimbus Manticore (còn được biết đến là Screening Serpens và UNC1549) vừa được xác định là tác giả của một chiến dịch mới sử dụng mồi nhử giả mạo các tổ chức trong lĩnh vực hàng không và phần mềm tại Mỹ, Châu Âu và Trung Đông. Hoạt động này diễn ra ngay sau chiến dịch quân sự chung giữa Mỹ và Israel vào cuối tháng 2 năm 2026.
Hoạt động này không chỉ áp dụng các kỹ thuật chưa từng được ghi nhận trước đây và nâng cao năng lực tấn công, mà còn đặc trưng bởi việc sử dụng một backdoor mới mang mã hiệu MiniFast (còn gọi là MiniUpdate). Theo phân tích của Check Point công bố tuần trước, malware này dường như được phát triển với sự hỗ trợ của trí tuệ nhân tạo (AI).
Liên kết với Quân đoàn Vệ binh Cách mạng Hồi giáo Iran (IRGC), Nimbus Manticore nổi tiếng với việc nhắm mục tiêu vào các lĩnh vực quốc phòng, hàng không và viễn thông bằng các mồi nhử Phishing chủ đề nghề nghiệp. Những chiến dịch này còn được gọi là "Iranian Dream Job", do có những điểm tương đồng về mặt chiến thuật với Operation Dream Job do các hacker Triều Tiên thực hiện.
Sự thay đổi trong phương thức tấn công
Chuỗi tấn công gần đây của nhóm này đã chứng kiến sự thay đổi trong phương thức hoạt động. Cụ thể, nhóm đã sử dụng kỹ thuật AppDomain hijacking để phân phối MiniJunk vào tháng 2 năm 2026, sau đó triển khai backdoor MiniFast vào tháng 3 và dựa vào SEO poisoning để phát tán phiên bản chứa mã độc của phần mềm Oracle SQL Developer vào tháng 4.
Trong chiến dịch đầu tiên được quan sát thấy trước khi xung đột nổ ra, các nhân viên trong lĩnh vực phần mềm và hàng không tại Ả Rập Xê Út và Úc đã bị nhắm mục tiêu bằng các cơ hội nghề nghiệp giả mạo. Nạn nhân bị lừa tải xuống một kho lưu trữ ZIP được lưu trữ trên OnlyOffice. Việc thực thi một tệp tin hợp lệ bên trong tệp ZIP đã tận dụng kỹ thuật AppDomain hijacking để kích hoạt một tệp DLL MiniJunk độc hại.
Chiến dịch vào tháng 3 năm 2026 cũng đi theo cách tiếp cận tương tự, nhưng lần này kẻ tấn công đã sử dụng một bộ cài đặt Zoom bị chèn mã độc. Bộ cài này sau đó kích hoạt tệp tin nhị phân tận dụng AppDomain hijacking để triển khai MiniFast. Các chuyên gia nghi ngờ đây là một phần của chiến dịch Phishing sử dụng lời mời họp giả mạo.
Sự can thiệp của AI trong phát triển mã độc
Có nhiều dấu hiệu cho thấy Nimbus Manticore đã sử dụng AI để hỗ trợ phát triển MiniFast. Các bằng chứng bao gồm: xử lý lỗi quá mức và logic lập trình phòng thủ, các mẫu đặt tên hàm và phương thức lặp đi lặp lại với các mã định danh mô tả chi tiết, nhiều chuỗi báo cáo lỗi và thông báo trạng thái kiểu debug chi tiết, cùng với cấu trúc mã mô-đun dù tổng thể malware khá đơn giản.
SEO Poisoning: Kỹ thuật phân phối phần mềm giả mạo
Tháng trước, Check Point cũng phát hiện một trang web giả mạo trang tải xuống SQL Developer. Kẻ tấn công đã lừa người dùng truy cập trang này thông qua SEO poisoning để tải xuống bộ cài đặt chứa mã độc MiniFast. Đây là lần đầu tiên nhóm này sử dụng phương pháp này để phân phối malware.
"Phương thức phân phối mã độc này khác với chuỗi lây nhiễm thông thường của Nimbus Manticore, vốn dựa trên mồi nhử Phishing chủ đề nghề nghiệp. Trong chiến dịch này, kẻ tấn công lạm dụng kỹ thuật tối ưu hóa công cụ tìm kiếm bằng cách đăng ký hàng chục tên miền liên kết đến trang web giả mạo getsqldeveloper[.]com nhằm tăng uy tín và khả năng hiển thị của trang web."
Khả năng của Backdoor MiniFast
MiniFast được mô tả là một backdoor đầy đủ tính năng, được thiết kế để duy trì sự hiện diện lâu dài và thực thi lệnh từ xa. Nó liên lạc với máy chủ điều khiển (C2) qua các yêu cầu HTTP để nhận nhiệm vụ, tải lên kết quả thực thi, đánh cắp tệp tin và tải thêm các payload bổ sung. Trước khi bắt đầu vòng lặp nhiệm vụ, malware sẽ gửi thông tin cơ bản về hệ thống cho kẻ vận hành.
Các lệnh được backdoor hỗ trợ rất đa dạng, bao gồm: thao tác tệp tin, liệt kê thư mục, liệt kê tiến trình, thực thi lệnh qua "cmd.exe", chấm dứt tiến trình qua PID, tải DLL, tạo kho lưu trữ ZIP, duy trì sự hiện diện qua scheduled tasks và leo thang đặc quyền qua lệnh "runas".
"Điều đáng chú ý là tham vọng của nhóm này không chỉ dừng lại ở hoạt động gián điệp tại Trung Đông. Chúng tôi tìm thấy những chỉ dấu mạnh mẽ cho thấy Nimbus Manticore đã sử dụng các công cụ AI để viết mã độc nhanh hơn. Xung đột không làm chúng chậm lại, mà thực tế còn thúc đẩy chúng tăng tốc." - Sergey Shykevich, Quản lý nhóm tình báo đe dọa tại Check Point Research cho biết.
Mở rộng mục tiêu tấn công
Thông tin này trùng khớp với báo cáo từ Palo Alto Networks Unit 42 về việc nhóm này nhắm mục tiêu vào các thực thể tại Mỹ, Israel, UAE và Trung Đông bằng MiniUpdate và phiên bản cập nhật MiniJunk V2. Một trong những mục tiêu bị nhắm tới là một công ty dầu khí tại Mỹ.
Các phát hiện cho thấy các hacker Iran đang học tập kịch bản của Triều Tiên để xâm nhập vào các tổ chức mục tiêu bằng cách tiếp cận nhân viên với những cơ hội việc làm béo bở. Ngoài ra, các hacker Iran còn bị nghi ngờ đã thực hiện một loạt các vụ tấn công nhắm vào hệ thống đọc bồn chứa tại các trạm xăng trên khắp nước Mỹ bằng cách khai thác các hệ thống đo lường tự động (ATG) không được bảo vệ bằng mật khẩu.