Die iranische APT-Gruppe Nimbus Manticore (auch bekannt als Screening Serpens und UNC1549) führte von Februar bis April 2026 drei aufeinanderfolgende Kampagnen durch, die auf Organisationen der Luftfahrt-, Software- sowie Öl- und Gasbranche in den USA, Europa, im Nahen Osten und in Australien abzielten. Nach Angaben von Forschern von Check Point und Palo Alto Networks Unit 42 setzte die Gruppe einen bisher undokumentierten Backdoor MiniFast, die Technik AppDomain hijacking sowie erstmals SEO-Poisoning zur Auslieferung von Malware ein – was auf einen signifikanten Ausbau ihres Arsenals und ihres operativen Tempos hindeutet.

Drei Wellen: Chronologie der Kampagnen

Laut dem Bericht von Check Point Research lässt sich die Aktivität der Gruppe in drei klar abgrenzbare Phasen einteilen, die jeweils eine Evolution der Taktiken zeigen.

Februar 2026: Phishing mit Karriere-Ködern und MiniJunk

Die erste Welle richtete sich gegen Mitarbeitende von Unternehmen aus den Bereichen Software und Luftfahrt in Saudi-Arabien und Australien. Den Opfern wurden gefälschte Stellenangebote präsentiert, die sie dazu verleiteten, ein ZIP-Archiv herunterzuladen, das auf der Plattform OnlyOffice abgelegt war. Beim Start einer legitimen ausführbaren Datei aus dem Archiv kam die Technik AppDomain hijacking zum Einsatz, um die bösartige DLL MiniJunk zu laden.

März 2026: Trojanisierter Zoom-Installer und Einsatz von MiniFast

Die zweite Kampagne behielt den Ansatz des AppDomain hijacking bei, erweiterte jedoch den Auslieferungsvektor. Die Gruppe nutzte einen trojanisierten Zoom-Installer, der mutmaßlich über gefälschte Einladungen zu Videokonferenzen verbreitet wurde. Am Ende der Infektionskette stand die Bereitstellung des neuen Backdoors MiniFast (auch als MiniUpdate bezeichnet).

April 2026: SEO-Poisoning und gefälschter SQL Developer

Die dritte Welle markierte einen grundlegenden Taktikwechsel. Anstelle von zielgerichtetem Phishing richtete die Gruppe eine gefälschte Download-Seite für Oracle SQL Developer ein und pushte diese über SEO-Poisoning. Um die Sichtbarkeit der Seite in den Suchmaschinen Bing und DuckDuckGo zu erhöhen, wurden Dutzende Domains registriert, die auf die primäre bösartige Domain getsqldeveloper[.]com verwiesen und so künstliche Reputationssignale auf Basis der Linkmasse erzeugten. Nach Angaben von Check Point ist dies der erste dokumentierte Einsatz von SEO-Poisoning durch Nimbus Manticore zur Auslieferung von Malware.

Technisches Profil des Backdoors MiniFast

MiniFast ist ein voll ausgestatteter Backdoor, der für langfristige Persistenz und Remote-Steuerung ausgelegt ist. Die Kommunikation mit dem Command-and-Control-Server erfolgt über HTTP. Bevor die Malware in den eigentlichen Aufgabenzirkel eintritt, übermittelt sie dem Operator Basisinformationen über das System.

Der Satz unterstützter Befehle umfasst:

• Dateioperationen und Verzeichnisauflistungen
• Auflistung von Prozessen und deren Beenden über die PID
• Ausführen von Befehlen über cmd.exe
• Laden von DLLs
• Erstellen von ZIP-Archiven
• Persistenz über geplante Aufgaben (scheduled tasks)
• Privilegienerweiterung über den Befehl runas
• Download zusätzlicher Payloads vom Server
• Exfiltration von Dateien

Besonders hervorzuheben ist die Unterstützung für das dynamische Aktualisieren des Abfrageintervalls und eines Jitter-Werts zur Randomisierung der Abfragefrequenz gegenüber dem Command-and-Control-Server – ein Mechanismus, der die Erkennung über die Analyse des Netzwerkverkehrs erschwert.

Bedrohungskontext und Umfang der Operationen

Nimbus Manticore fokussiert sich traditionell auf die Sektoren Verteidigung, Luftfahrt und Telekommunikation und setzt dabei Karriere-Phishing-Köder ein – ein Ansatz, der in Anlehnung an die nordkoreanische Operation Dream Job als „Iranian Dream Job“ bezeichnet wird. Ein paralleler Bericht von Palo Alto Networks Unit 42 bestätigt die zunehmende Aktivität der Gruppe und verzeichnet Angriffe auf Organisationen in den USA, Israel, den Vereinigten Arabischen Emiraten und im Nahen Osten unter Einsatz von MiniUpdate und einer aktualisierten Version MiniJunk V2. Zu den Zielen gehörte laut Unit 42 auch ein US-amerikanisches Öl- und Gasunternehmen.

Die Forschenden von Unit 42 heben die starke Personalisierung der Köder hervor: Neben gefälschten Stellenangeboten kamen auch manipulierte Einladungen zu Videokonferenzen zum Einsatz. Die Gruppe setzte zwei Familien von RAT-Varianten in Organisationen in bis zu fünf Ländern ein, was auf beträchtliche operative Ressourcen schließen lässt.

Wichtiger Hinweis: Die Zuordnung der Gruppe zu konkreten staatlichen Strukturen des Iran basiert auf analytischen Einschätzungen von Forschungsunternehmen und nicht auf offiziellen Regierungsverlautbarungen. Die Aussage von Check Point über einen möglichen Einsatz von KI-Werkzeugen bei der Entwicklung von MiniFast stellt ebenfalls eine analytische Hypothese dar, die auf indirekten Code-Indikatoren beruht.

Einschätzung der Auswirkungen

Am stärksten gefährdet sind Organisationen aus der Luftfahrtbranche, Softwareentwickler, Öl- und Gasunternehmen sowie Rüstungsbetriebe in den USA, Europa, im Nahen Osten und in Australien. Der Übergang zu SEO-Poisoning erweitert den Kreis potenzieller Opfer: Während Phishing eine gezielte Auswahl von Adressaten erfordert, bedroht die gefälschte SQL-Developer-Download-Seite jede Entwicklerin und jeden Entwickler, die bzw. der über Suchmaschinen nach dieser Software sucht. Damit wandelt sich der Angriff von zielgerichtet zu semi-opportunistisch, was die Angriffsfläche erheblich vergrößert.

Empfehlungen zum Schutz

• Blockierung von IOCs: Fügen Sie die Domain getsqldeveloper[.]com und damit verbundene Ressourcen in die Blacklists Ihrer DNS-Server und Proxy-Systeme ein
• Kontrolle der Download-Quellen: Laden Sie Oracle SQL Developer, Zoom und andere Software ausschließlich von den offiziellen Websites der Hersteller herunter. Prüfen Sie die Einführung von Richtlinien, die die Installation von Software aus nicht verifizierten Quellen einschränken
• Überwachung von AppDomain hijacking: Überwachen Sie die ungewöhnliche DLL-Ladung durch .NET-Anwendungen, insbesondere aus unüblichen Verzeichnissen. Achten Sie auf den Start legitimer ausführbarer Dateien aus temporären Ordnern oder Benutzer-Downloadverzeichnissen
• Erkennung des MiniFast-Verhaltens: Richten Sie Erkennungsregeln für HTTP-Kommunikation mit charakteristischem Muster ein – Übermittlung von Systeminformationen bei der ersten Verbindung, anschließende periodische Abfragen mit variablem Intervall. Überwachen Sie die Erstellung geplanter Aufgaben und die Nutzung des Befehls runas aus atypischen Kontexten
• Sensibilisierung des Personals: Informieren Sie HR-Mitarbeitende und technische Fachkräfte gezielt über Phishing-Kampagnen mit Karriere-Ködern und gefälschten Einladungen zu Videokonferenzen
• Netzwerksegmentierung: Beschränken Sie ausgehenden HTTP-Verkehr von Workstations und wenden Sie das Prinzip der geringsten Privilegien auch auf Netzwerkzugriffe an

Drei Kampagnen von Nimbus Manticore in drei Monaten – mit einer sukzessiven Verlagerung der Auslieferungsvektoren von Phishing über trojanisierte Installer hin zu SEO-Poisoning – zeigen die Fähigkeit der Gruppe, ihre Taktik schnell anzupassen. Vorrangige Maßnahmen für Organisationen aus den anvisierten Sektoren sind: sofortige Blockierung der bekannten bösartigen Domain getsqldeveloper[.]com, Überprüfung der Richtlinien für Softwaredownloads sowie die Implementierung von Erkennungsregeln für AppDomain hijacking und die charakteristischen HTTP-Kommunikationsmuster von MiniFast.