Иранская APT-группа Nimbus Manticore (также известная как Screening Serpens и UNC1549) провела три последовательные кампании с февраля по апрель 2026 года, нацеленные на организации авиационного, программного и нефтегазового секторов в США, Европе, на Ближнем Востоке и в Австралии. По данным исследователей из Check Point и Palo Alto Networks Unit 42, группировка задействовала ранее не документированный бэкдор MiniFast, технику AppDomain hijacking и впервые прибегла к SEO-отравлению для доставки вредоносного ПО — что свидетельствует о существенном расширении арсенала и операционного темпа.

Три волны: хронология кампаний

Согласно отчёту Check Point Research, активность группировки разделяется на три отчётливые фазы, каждая из которых демонстрирует эволюцию тактик.

Февраль 2026: фишинг с карьерными приманками и MiniJunk

Первая волна была направлена против сотрудников компаний в секторах программного обеспечения и авиации в Саудовской Аравии и Австралии. Жертвам предлагались фиктивные вакансии, побуждавшие загрузить ZIP-архив, размещённый на платформе OnlyOffice. При запуске легитимного исполняемого файла из архива использовалась техника AppDomain hijacking для загрузки вредоносной DLL-библиотеки MiniJunk.

Март 2026: троянизированный Zoom и развёртывание MiniFast

Вторая кампания сохранила подход с AppDomain hijacking, но расширила вектор доставки. Группировка использовала троянизированный установщик Zoom, предположительно распространявшийся через поддельные приглашения на видеоконференции. Результатом цепочки заражения стало развёртывание нового бэкдора MiniFast (также обозначаемого как MiniUpdate).

Апрель 2026: SEO-отравление и поддельный SQL Developer

Третья волна ознаменовала принципиальный сдвиг в тактике. Вместо целевого фишинга группировка создала поддельный сайт загрузки Oracle SQL Developer и продвинула его через SEO-отравление. Для повышения видимости ресурса в поисковых системах Bing и DuckDuckGo были зарегистрированы десятки доменов, ссылающихся на основной вредоносный домен getsqldeveloper[.]com, что формировало искусственные сигналы репутации на основе ссылочной массы. По данным Check Point, это первый зафиксированный случай использования Nimbus Manticore SEO-отравления для доставки вредоносного ПО.

Технический профиль бэкдора MiniFast

MiniFast представляет собой полнофункциональный бэкдор, спроектированный для долговременного закрепления и удалённого управления. Коммуникация с командным сервером осуществляется по HTTP. Перед входом в основной цикл обработки задач вредонос передаёт оператору базовую информацию о системе.

Набор поддерживаемых команд включает:

• Файловые операции и листинг директорий
• Перечисление процессов и их завершение по PID
• Выполнение команд через cmd.exe
• Загрузка DLL-библиотек
• Создание ZIP-архивов
• Закрепление через запланированные задачи (scheduled tasks)
• Повышение привилегий через команду runas
• Загрузка дополнительных полезных нагрузок с сервера
• Эксфильтрация файлов

Отдельно стоит отметить поддержку динамического обновления интервала опроса и значения джиттера для рандомизации частоты обращений к командному серверу — механизм, затрудняющий обнаружение на основе анализа сетевого трафика.

Контекст угрозы и масштаб операций

Nimbus Manticore исторически специализируется на секторах обороны, авиации и телекоммуникаций, применяя карьерные фишинговые приманки — подход, получивший название «Iranian Dream Job» по аналогии с северокорейской Operation Dream Job. Параллельный отчёт Palo Alto Networks Unit 42 подтверждает активизацию группировки и фиксирует атаки на организации в США, Израиле, ОАЭ и на Ближнем Востоке с использованием MiniUpdate и обновлённой версии MiniJunk V2. Среди целей, по данным Unit 42, была американская нефтегазовая компания.

Исследователи Unit 42 подчёркивают глубокую персонализацию приманок: помимо поддельных вакансий использовались сфабрикованные приглашения на видеоконференции. Группировка развернула два семейства RAT-вариантов в организациях до пяти стран, что указывает на значительные операционные ресурсы.

Важная оговорка: атрибуция группировки к конкретным государственным структурам Ирана основана на аналитических оценках исследовательских компаний, а не на официальных правительственных заявлениях. Утверждение Check Point о возможном использовании инструментов искусственного интеллекта при разработке MiniFast также является аналитической гипотезой, основанной на косвенных признаках в коде.

Оценка воздействия

Наибольшему риску подвержены организации авиационного сектора, разработчики программного обеспечения, нефтегазовые компании и предприятия оборонной промышленности в США, Европе, на Ближнем Востоке и в Австралии. Переход к SEO-отравлению расширяет круг потенциальных жертв: если фишинг требует целенаправленного выбора адресата, то поддельная страница загрузки SQL Developer угрожает любому разработчику, ищущему это ПО через поисковые системы. Это превращает атаку из целевой в полуоппортунистическую, что существенно увеличивает поверхность поражения.

Рекомендации по защите

• Блокировка IOC: добавьте домен getsqldeveloper[.]com и связанные с ним ресурсы в чёрные списки DNS и прокси-серверов
• Контроль источников загрузки: загружайте Oracle SQL Developer, Zoom и другое ПО исключительно с официальных сайтов производителей. Рассмотрите внедрение политик, ограничивающих установку ПО из непроверенных источников
• Мониторинг AppDomain hijacking: отслеживайте аномальную загрузку DLL .NET-приложениями, особенно из нестандартных директорий. Обращайте внимание на запуск легитимных исполняемых файлов из временных папок или пользовательских каталогов загрузок
• Детектирование поведения MiniFast: настройте правила обнаружения HTTP-коммуникаций с характерным паттерном — передача системной информации при первом подключении, последующий периодический опрос с переменным интервалом. Отслеживайте создание запланированных задач и использование команды runas из нетипичных контекстов
• Обучение персонала: проведите целевое информирование сотрудников HR и технических специалистов о фишинговых кампаниях с карьерными приманками и поддельными приглашениями на видеоконференции
• Сетевая сегментация: ограничьте исходящий HTTP-трафик с рабочих станций, применяя принцип минимальных привилегий для сетевого доступа

Три кампании Nimbus Manticore за три месяца — с последовательной сменой векторов доставки от фишинга к троянизированным установщикам и SEO-отравлению — демонстрируют способность группировки быстро адаптировать тактику. Приоритетные действия для организаций из целевых секторов: немедленная блокировка известного вредоносного домена getsqldeveloper[.]com, аудит политик загрузки программного обеспечения и внедрение детектирующих правил для AppDomain hijacking и характерных паттернов HTTP-коммуникации MiniFast.