Nimbus Manticore scatena MiniFast durante Operation Epic Fury

Nimbus Manticore, gruppo APT affiliato alla Guardia Rivoluzionaria iraniana e identificato anche come UNC1549, intensifica le operazioni cyber durante il conflitto del 2026 e introduce il nuovo backdoor MiniFast come fulcro di una campagna offensiva altamente coordinata. Secondo l’analisi di Check Point Research, il gruppo scatena tre ondate distinte di attacchi tra febbraio e aprile 2026 sfruttando AppDomain Hijacking, installer di Zoom trojanizzati e campagne di SEO poisoning. Le operazioni coincidono con il lancio dell’operazione americana Epic Fury del 28 febbraio 2026 e mostrano una rapida evoluzione tecnica rispetto alle precedenti campagne iraniane. MiniFast sostituisce il vecchio malware MiniJunk e introduce una nuova architettura di comando e controllo basata su JSON, capace di simulare il traffico del browser Chrome e operare in modo estremamente stealth. Il gruppo prende di mira aziende della difesa, dell’aviazione, delle telecomunicazioni e del software negli Stati Uniti, in Europa, Medio Oriente, Arabia Saudita e Australia. Nimbus Manticore usa binari firmati Microsoft, certificati digitali validi emessi da SSL.com e infrastrutture cloud legittime per ridurre la probabilità di rilevamento. Le campagne, definite “Fast and Furious”, dimostrano come gli attori iraniani stiano accelerando l’adozione di tecniche offensive avanzate durante le crisi geopolitiche.

Nimbus Manticore coordina tre ondate offensive durante il conflitto

Le operazioni documentate da Check Point Research mostrano una struttura offensiva organizzata in tre fasi principali, sincronizzate con l’evoluzione del conflitto iraniano. La prima ondata parte a febbraio 2026, mentre cresce la tensione geopolitica legata a Operation Epic Fury. Nimbus Manticore lancia campagne phishing globali a tema carriera che imitano offerte di lavoro nel settore software e aeronautico. Gli attaccanti distribuiscono archivi ZIP ospitati su OnlyOffice, ognuno contenente il binario legittimo Setup.exe firmato Microsoft, il file di configurazione malevolo Setup.exe.config e la DLL uevmonitor.dll. Attraverso la tecnica di AppDomain Hijacking, il runtime .NET viene forzato a caricare automaticamente la DLL malevola all’avvio dell’applicazione legittima. Il loader verifica il sistema compromesso, mostra un falso messaggio di errore per simulare un problema tecnico e poi installa MiniJunk nella directory AppData\Local\Packages. Questa fase iniziale permette al gruppo di raccogliere credenziali, validare l’accesso e testare le nuove tecniche offensive.

La seconda ondata usa Zoom trojanizzato e Task Hijacking

Tra marzo e aprile 2026, nel pieno dell’operazione Epic Fury, Nimbus Manticore intensifica le attività con una seconda ondata molto più aggressiva. Il gruppo continua il phishing a tema carriera ma introduce anche un nuovo vettore basato su installer trojanizzati di Zoom. Le vittime ricevono inviti a riunioni apparentemente legittime che conducono al download dell’archivio Zoominstall64.zip. Il pacchetto contiene il binario Microsoft Setup.exe, la DLL InitInstall.dll come loader principale e Updater.dll come secondo stadio. Durante l’installazione, il malware mostra una falsa finestra di progresso mentre esegue in background il setup legittimo di Zoom, riducendo i sospetti dell’utente.

La persistenza viene ottenuta attraverso una tecnica di Task Hijacking. Il malware monitora la creazione del task pianificato ZoomUpdateTaskUser e lo intercetta per eseguire il payload malevolo. I file vengono installati nella directory C:\Users<USER>\AppData\Local\Zoom\bin\update, perfettamente coerente con il comportamento reale dell’applicazione. Questa strategia consente agli attaccanti di fondersi completamente con processi di aggiornamento software autentici.

La terza ondata passa al SEO poisoning globale

Dopo il cessate il fuoco di aprile 2026, Nimbus Manticore modifica nuovamente il proprio approccio e passa a campagne di SEO poisoning su larga scala. Gli operatori registrano decine di domini malevoli che reindirizzano verso getsqldeveloper[.]com, progettato per impersonare download legittimi di strumenti SQL. I siti falsi riescono a posizionarsi tra i risultati principali di Bing e DuckDuckGo per ricerche come “sql developer” o “SQL Developer Free”. Gli utenti che scaricano il software ottengono invece installer infettati con MiniFast. Questa fase amplia il raggio delle operazioni e colpisce sviluppatori, amministratori database e tecnici IT in tutto il mondo. Nimbus Manticore usa tecniche di keyword stuffing e manipolazione SEO per aumentare il traffico verso i siti malevoli. La strategia dimostra un’evoluzione importante rispetto al phishing tradizionale: il gruppo non aspetta più la vittima tramite email, ma la intercetta direttamente nei motori di ricerca durante normali attività professionali.

AppDomain Hijacking sostituisce il DLL sideloading tradizionale

Uno degli aspetti più innovativi delle campagne di Nimbus Manticore è l’abbandono del classico DLL sideloading a favore dell’AppDomain Hijacking nelle applicazioni .NET. Il file Setup.exe.config specifica una classe AppDomainManager che punta direttamente alle DLL malevole come uevmonitor.dll o InitInstall.dll. Quando il processo host viene avviato, il runtime .NET carica automaticamente il codice maligno prima dell’esecuzione normale dell’applicazione. La tecnica sfrutta binari Microsoft firmati e riduce drasticamente i segnali anomali visibili agli strumenti di sicurezza. Nimbus Manticore aggiunge inoltre controlli anti-sandbox e verifica che il processo padre sia svchost.exe, mentre il processo host deve corrispondere a update.exe o Setup.exe. Se l’ambiente non soddisfa queste condizioni, il malware interrompe l’esecuzione. Questa validazione limita l’analisi automatica e rende molto più difficile il lavoro dei sandbox cloud-based e degli EDR tradizionali.

Task Hijacking rende il malware invisibile nei processi di aggiornamento

Il Task Hijacking completa la strategia stealth di Nimbus Manticore. Invece di creare nuovi task pianificati facilmente identificabili, il malware attende la generazione di task legittimi associati a software popolari come Zoom e ne intercetta l’esecuzione per avviare il payload malevolo. Questo approccio riduce notevolmente gli indicatori sospetti e permette al malware di apparire come parte normale dell’infrastruttura software della macchina compromessa. Gli attaccanti utilizzano stringhe offuscate tramite ROT13 e inversione di testo per complicare ulteriormente l’analisi statica. Tutti i payload vengono firmati con certificati digitali validi emessi da SSL.com e intestati a entità apparentemente legittime come Gray Matter Software S.R.L. o Kirubel Kerie Negeya. La combinazione tra firme valide, processi Microsoft e task legittimi rende il rilevamento estremamente difficile anche per sistemi di sicurezza avanzati.

MiniFast sostituisce MiniJunk con un’architettura moderna

La backdoor MiniFast rappresenta il principale salto evolutivo dell’arsenale di Nimbus Manticore. La DLL esporta una singola funzione chiamata CheckForUpdates e sostituisce completamente la precedente famiglia malware MiniJunk. Il payload verifica il contesto di esecuzione e procede solo se il processo padre e l’host corrispondono ai parametri previsti. La comunicazione con il server C2 avviene tramite richieste HTTP in formato JSON, con traffico progettato per imitare il comportamento del browser Chrome attraverso User-Agent specifici. Durante la registrazione iniziale il malware invia dati identificativi del sistema all’endpoint /rg, mentre il server risponde con parametri come socketId, pollInterval e jitterTime. MiniFast registra la vittima tramite /agent/init e riceve istruzioni da /agent/poll. I task vengono serializzati in Base64 e includono opcode, argomenti e identificativi univoci. Il malware supporta upload di file su /upload e download tramite /files, consentendo screenshot, keylogging, raccolta documenti e furto di credenziali.

Check Point rileva pattern di sviluppo assistiti dall’intelligenza artificiale

Secondo Check Point Research, l’architettura di MiniFast mostra pattern di codice che suggeriscono l’utilizzo crescente di strumenti di intelligenza artificiale durante lo sviluppo. Le funzioni appaiono altamente modulari, ottimizzate e progettate per essere facilmente estese senza compromettere la stabilità del malware. Nimbus Manticore utilizza componenti riutilizzabili e strutture estremamente pulite che riducono gli errori e migliorano l’efficienza operativa. Il backdoor mantiene persistenza tramite task pianificati e chiavi di registro, riconnettendosi automaticamente in caso di perdita della sessione. Questa modularità permette al gruppo di aggiornare rapidamente le capacità offensive durante il conflitto, adattando il malware alle contromisure difensive quasi in tempo reale. L’adozione di processi di sviluppo più automatizzati segna una maturazione importante nell’ecosistema cyber iraniano.

Settori difesa, aviazione e telecomunicazioni restano i target principali

Nimbus Manticore concentra gli sforzi contro settori ad alto valore strategico, in particolare difesa, aviazione, telecomunicazioni e software enterprise. Le campagne phishing a tema carriera sfruttano l’interesse professionale di ingegneri, sviluppatori e tecnici specializzati per ottenere accesso iniziale. I target includono organizzazioni negli Stati Uniti, Europa, Medio Oriente, Arabia Saudita e Australia. Durante le fasi più intense di Operation Epic Fury, il gruppo accelera il volume degli attacchi per raccogliere intelligence utile alle operazioni iraniane. L’obiettivo non è soltanto il furto di credenziali, ma anche l’accesso a diagrammi di rete, file di progetto, infrastrutture cloud e dati operativi che possano supportare attività di spionaggio o preparazione offensiva futura. La campagna SEO poisoning amplia ulteriormente il targeting verso sviluppatori e amministratori database che gestiscono sistemi critici.

Nimbus Manticore sfrutta infrastrutture cloud e domini dinamici

L’infrastruttura usata dal gruppo riflette un’elevata maturità operativa. Nimbus Manticore sfrutta piattaforme cloud come OnlyOffice per ospitare archivi ZIP malevoli e registra rapidamente nuovi domini per sostenere le campagne SEO poisoning. I server C2 gestiscono traffico JSON con intervalli casuali di polling e jitter per evitare pattern facilmente identificabili. Il gruppo usa bucket e repository compromessi per staging secondario e aggiornamenti dei payload. Questa modularità consente di sostituire rapidamente infrastrutture compromesse senza interrompere le operazioni. La scelta di appoggiarsi a servizi legittimi riduce il rischio di attribuzione immediata e rende più difficile bloccare il traffico senza impatti collaterali sulle attività normali delle organizzazioni bersaglio.

Nimbus Manticore segna una nuova fase delle operazioni cyber iraniane

Le campagne documentate da Check Point Research mostrano un’evoluzione significativa delle capacità offensive iraniane. Nimbus Manticore abbandona molte tecniche tradizionali e introduce una combinazione sofisticata di AppDomain Hijacking, Task Hijacking, SEO poisoning e backdoor modulari come MiniFast. Il gruppo sfrutta ogni fase del conflitto per testare, adattare e perfezionare gli strumenti offensivi, dimostrando una capacità di evoluzione molto rapida. Le organizzazioni nei settori strategici devono aumentare il monitoraggio dei task pianificati, verificare i file di configurazione .NET, controllare gli installer scaricati da motori di ricerca e limitare l’esecuzione di payload firmati ma anomali. Nimbus Manticore conferma il ruolo crescente dell’ecosistema cyber iraniano nelle operazioni geopolitiche moderne, dove malware, cloud e ingegneria sociale vengono integrati in campagne coordinate e altamente dinamiche.