Иранские хакеры из группировки Nimbus Manticore применили AI и отравление поисковой выдачи в новой кампании

Согласно данным исследования, хакеры действовали в три этапа. Первый пришёлся на февраль 2026 года, когда напряжённость между США, Израилем и Ираном только нарастала. Второй этап совпал с началом военной операции 28 февраля. Третий стартовал в апреле, уже после объявления перемирия. Каждый раз злоумышленники адаптировали цепочки заражения и инструментарий.

На начальной стадии атакующие применяли фишинг - рассылку мошеннических писем якобы от имени кадровых служб известных авиакомпаний и IT-компаний. Жертвам предлагали скачать с облачной платформы OnlyOffice архив с поддельными вакансиями. Внутри архива находился легитимный исполняемый файл от Microsoft, конфигурационный XML-документ и вредоносная библиотека. Срабатывал метод AppDomain Hijacking: .NET-среда загружала зловред как часть доверенного процесса. Это позволяло обойти антивирусные средства и провести скрытую установку бэкдора MiniJunk - старой версии вредоноса, который ранее уже применяла эта группа.

Во время активной фазы военных действий группировка продемонстрировала ещё более высокий уровень подготовки. Вместо стандартных фишинговых писем хакеры стали использовать троянизированный установщик Zoom. Они тщательно изучили процесс установки легитимного приложения, создали собственную последовательность заражения и подменили штатный планировщик задач Zoom. Когда пользователь запускал загрузку, на экране появлялось окно с индикатором прогресса - всё выглядело как обычная установка. В фоне же вредоносная программа ждала создания системной задачи ZoomUpdateTaskUser, затем перехватывала её и перенаправляла на запуск второго этапа заражения. Аналитики обнаружили в этом процессе несколько признаков использования генеративных нейросетей: избыточную обработку ошибок, повторяющиеся длинные имена функций, обилие отладочных строк и модульную структуру кода при общей простоте функционала. Это говорит о том, что злоумышленники применили средства искусственного интеллекта для ускорения разработки и улучшения качества вредоносного кода.

Финальной стадией стала установка ранее неизвестного бэкдора MiniFast. В отличие от MiniJunk, новая программа написана с нуля и имеет архитектуру, основанную на HTTP-запросах и JSON-формате данных. Она маскируется под браузер Chrome, используя соответствующую строку User-Agent, и связывается с командным центром (C2) через несколько заранее заданных адресов. Например, на этапе регистрации вредонос отправляет на сервер данные о компьютере и пользователе, а затем получает настройки интервала опроса. Полный набор команд включает управление файлами и папками, выполнение команд оболочки, запуск процессов, загрузку и выгрузку данных, создание ZIP-архивов, а также запрос повышения привилегий через механизм UAC. Примечательно, что программа проверяет, запущена ли она из планировщика задач, а не вручную пользователем, что усложняет анализ в песочнице.

Третья волна атак, зафиксированная в апреле, кардинально отличалась по методу доставки. Вместо фишинга хакеры создали поддельный сайт getsqldeveloper[.]com, имитирующий страницу загрузки популярного инструмента для разработчиков баз данных SQL Developer. Чтобы сайт оказался в топе поисковых систем, они зарегистрировали десятки доменов, ссылающихся на этот ресурс, и наполнили страницы ключевыми словами. В результатах поиска Bing и DuckDuckGo мошеннический ресурс действительно занимал высокие позиции. Посетители, желавшие скачать легитимную программу, получали установщик с MiniFast. Это первый зафиксированный случай использования SEO-отравления группировкой Nimbus Manticore.

География целей тоже изменилась. Если раньше хакеры в основном атаковали объекты в Европе, на Ближнем Востоке и в Африке, то теперь они нацелились на авиационный сектор США. Фишинговые письма подделывались под внутренние американские авиалинии, а фальшивые порталы вакансий имитировали крупные перевозчики. Такое расширение свидетельствует о том, что группировка действует в интересах иранской разведки и стремится получить доступ к стратегическим предприятиям.

Активность Nimbus Manticore показывает, что даже в условиях активных боевых действий иранские хакеры способны быстро внедрять новые техники, модернизировать свой арсенал и поддерживать высокую оперативность. Применение искусственного интеллекта при разработке вредоносного ПО делает такие атаки ещё более опасными: код становится сложнее детектировать, а время на создание новых образцов сокращается. Метод SEO-отравления расширяет поверхность атаки за счёт доверчивых пользователей, которые ищут легальное программное обеспечение. Для защиты специалистам по кибербезопасности стоит обратить особое внимание на мониторинг появления подозрительных доменов, проверку подлинности загрузочных страниц и анализ поведения планировщика задач Windows на предмет необычных модификаций.

Domains

• buisness-centeral.azurewebsites.net
• buisness-centeral-transportation.azurewebsites.net
• buisness-centeral-transportation.com
• businessstartup.azurewebsites.net
• business-startup.azurewebsites.net
• business-startup.org
• getsqldeveloper.com
• globalbusiness-checkers-it.azurewebsites.net
• global-check-business-it.azurewebsites.net
• global-check-itbusiness.azurewebsites.net
• global-it-checkbusiness.azurewebsites.net
• global-it-checkers.azurewebsites.net
• globalitconsultants.azurewebsites.net
• globalit-consultants.azurewebsites.net
• global-it-consultants.azurewebsites.net
• licencemanagers.azurewebsites.net
• licencesupporting.azurewebsites.net
• nanomatrix.azurewebsites.net
• peerdistsvcmanagers.azurewebsites.net
• PremierHealthAdvisory.azurewebsites.net
• Premier-HealthAdvisory.azurewebsites.net
• PremierHealthAdvisory.com
• ramiltonsfinance.azurewebsites.net
• ramiltons-finance.azurewebsites.net
• ramiltonsfinance.com

SHA256

• 0291ef318576953f7f3fe287e7775ed1d7c3206119dc7b9cd6d85c02779e6e40
• 0db36a04d304ad96f9e6f97b531934594cd95a5cea9ff2c9af249201089dc864
• 10fd541674adadfbba99b54280f7e59732746faf2b10ce68521866f737f1e46d
• 2c214494fd0bad31473ca8adce78a4f50847876584571e66aadeae70827ec2dc
• 332ba2f0297dfb1599adecc3e9067893e7cf243aa23aedce4906a4c480574c17
• 38bd137c672bd58d08c4f0502f993a6561e2c3411773d1ae57ee0151a0a9d11d
• 43dc62cef52ebdd69e79f10015b3e13890f26c058325c0ff139c70f8d8eadcfa
• 44f4f7aca7f1d9bfdaf7b3736934cbe19f851a707662f8f0b0c49b383e054250
• 485f182f7b74ea4013b2539275a95d21e3a9bf0082c331937af9353a324b36f3
• 5c3362d20229597d11380f56d1f2eb39647fb6afad7be8392a7abcd18dff12f8
• 63d0d3c4a7f71bdbca720903d6a99b832089cc093c64d2938e7e001e56c17ab4
• 64530d7e6ee30e4a66d9eeed6b8595c33fd72f5f73409133ca40539e5695df4c
• 74882085db2088356ed7f72f01e0404a0a98cda88ef56fb15ce74c1f36b26d27
• 781605ce9d4a9869e846f6c9657d71437cb6240ab27ffbc4cd550c0e06996690
• 8808c794c24367438f183e4be941876f1d3ecd0c8d2eb43b10d2380841d2283b
• 9cf029daca89523d917dafed0568d11d00e45ec96b5b90b4a1f7fd4018c7da84
• 9e4a658e6d831c9e9bdfe11884a75b7c64812ed0a80e8495ddf6b316505acac1
• a13ba3c5aff46e9daf2d23df4b3e3d49dc7236c207c56f0a1433051f3450d441
• a57ffb819fe8d98ff925c5d7b239598fe302acf5a13193d7a535040a71298fdf
• b19e06da580cf91691eda066ac9ee4b09c6e5dc26c367af12660fe1f9306eec4
• bc3b44154518c5794ce639108e7b9c5fecb0c189607a26de1aaed518d890c7ad
• d4a7e9f107fe40c1a5d0139c6c6e25bf6bf57f61feff090bee28f476bb3cc3c2
• dfa1e3137a032ee8561a1cd5e1a0f71a10bebb36aef7c336c878638a9c1239ee
• ecaf493c320d201d285ef5f61d75744216e47cf1115b4af528f9a78883cc446e
• eee657ffdb2af8ed6412221e7d5fbf4f5742f2ac2c88f43f12db46af0697de71
• f08b17856616d66492a24dced27f788e235f35f42fa7cd10f315000d3a2f4c03
• f54cd38632ac9da3af3533ae93e92625cbcb04df521dbf1b6acfaa81218f9e8c