Nimbus Manticore: APT iraniano colpisce aviation e software con AI

Nimbus Manticore ha bersagliato compagnie aeree e sviluppatori software in Arabia Saudita, Australia e USA con backdoor aggiornate, SEO poisoning e tecniche AI…

Contenuto

Nimbus Manticore: APT iraniano colpisce aviation e software con AI
Nimbus Manticore: APT iraniano colpisce aviation e software con AI

Nimbus Manticore, gruppo APT iraniano collegato all'IRGC, ha bersagliato compagnie aeree e società software in Arabia Saudita, Australia e Stati Uniti con una campagna articolata in tre ondate tra febbraio e aprile 2026. I ricercatori di Check Point Research e Palo Alto Networks Unit 42 hanno documentato l'uso di backdoor aggiornate — MiniFast e MiniJunk V2 — distribuite tramite AppDomain hijacking in applicazioni .NET e SEO poisoning per veicolare installer trojanizzati.

I report, pubblicati a maggio 2026, segnalano segni di sviluppo malware assistito da intelligenza artificiale. Check Point valuta che questi strumenti abbiano supportato, almeno in parte, la capacità del gruppo di adattarsi rapidamente anziché rallentare durante il conflitto.

Punti chiave
  • Nimbus Manticore ha sostituito il DLL sideloading con l'AppDomain hijacking: un file .config XML trojanizzato costringe applicazioni .NET a caricare DLL malevole al lancio.
  • Il backdoor MiniFast è stato distribuito tramite un installer di Zoom compromesso e un sito falso di SQL Developer ottimizzato per i motori di ricerca, espandendo la superficie di attacco dagli obiettivi mirati agli sviluppatori generici.
  • Check Point ha rilevato nel codice di MiniFast pattern compatibili con generazione LLM: gestione errori eccessiva, nomi di funzioni verbosi, modularità non coerente con la semplicità operativa del malware.
  • Unit 42 conferma il targeting di entità in fino a 5 paesi, inclusa una società petrolifera statunitense, con accelerazione operativa durante e dopo l'operazione militare statunitense contro l'Iran.

Dal finto recruiter al finto download: come è cambiata la trappola

Le campagne precedenti si basavano su job lure: finte offerte di lavoro veicolate tramite documenti OnlyOffice compromessi, indirizzate a dipendenti di compagnie aeree e società software. La prima ondata del 2026 ha seguito questo schema, distribuendo MiniJunk V2 tramite archivi ZIP su OnlyOffice.

A marzo, il gruppo ha diffuso MiniFast (alias MiniUpdate) tramite un installer di Zoom trojanizzato. Ad aprile, ha registrato dozzine di domini che puntavano a getsqldeveloper[.]com, un sito che impersonava Oracle SQL Developer e che — grazie a tecniche di SEO poisoning — risultava in alto su Bing e DuckDuckGo per la query "sql developer".

Il passaggio è significativo: da spear-phishing mirato a acquisizione di traffico generico. Uno sviluppatore che cerca uno strumento legittimo diventa bersaglio potenziale senza ricevere email sospetti. La superficie di attacco si allarga da dipendenti specifici a chiunque installi software da fonti non verificate.

AppDomain hijacking: la nuova tecnica di caricamento malevolo

Il gruppo ha abbandonato il DLL sideloading, tecnica ormai ampiamente rilevata dagli EDR, a favore dell'AppDomain hijacking in applicazioni .NET.

Nella directory di un'applicazione .NET legittima, gli operatori posizionano un file .config XML trojanizzato che ridefinisce il percorso di caricamento delle dipendenze. Al lancio, il runtime .NET carica automaticamente una DLL malevola anziché il componente legittimo. L'esecuzione avviene nel contesto di un processo attendibile.

Questa tecnica, osservata nelle campagne di febbraio 2026, presenta vantaggi operativi chiari: nessun processo sospetto viene creato, la DLL malevola è caricata da un binario legittimo, e la persistenza è implicita nel normale avvio dell'applicazione. La transizione indica un adattamento attivo alle contromisure difensive.

MiniFast: anatomia di un backdoor "Chrome" con ambizioni AI

MiniFast è una DLL Windows PE a 64 bit progettata per persistenza a lungo termine ed esecuzione remota di comandi. Impersona Google Chrome tramite User-Agent hardcoded, comunicando via HTTP con server C2 per fetch di task, upload di risultati, esfiltrazione di file e download di payload aggiuntivi. Supporta cmd.exe, runas e scheduled tasks.

Check Point ha documentato nel codice pattern compatibili con generazione LLM: gestione degli errori eccessiva per la semplicità del payload, nomi di funzioni e variabili verbosi, stringhe di debug dettagliate e organizzazione modulare che contrasta con il flusso operativo lineare. I ricercatori associano questi tratti a output generato da modelli linguistici piuttosto che a stili di sviluppo umano consolidato.

"Nimbus Manticore demonstrated a strong ability to rapidly adapt, maintain infrastructure, and develop new tooling. We assess that this capability was likely supported, at least in part, by LLM-based tools and AI-assisted development techniques" — Check Point Research

La distinzione è importante: non si tratta di malware autonomo creato dall'AI, ma di accelerazione del ciclo di sviluppo. Check Point valuta che l'uso di strumenti LLM abbia contribuito a comprimere i tempi, con nuovi backdoor distribuiti mid-conflict anziché in fasi di preparazione prolungata.

Cosa fare adesso

  • Monitorare file .config nelle app .NET: implementare alerting su modifiche non autorizzate a file .config XML nelle directory delle applicazioni .NET e su path di assembly anomali. Indicatore: presenza di file .config alterati in cartelle di app attendibili.
  • Controllare User-Agent Chrome hardcoded: verificare processi non browser (come installer di Zoom o applicazioni .NET) che presentino User-Agent Chrome o connessioni HTTP sospette verso domini legati a MiniFast. Indicatore: User-Agent Chrome in eseguibili che non sono browser.
  • Verificare hostname prima del download: richiedere download di Zoom, SQL Developer e strumenti simili esclusivamente dai domini ufficiali. Controllare che query su motori di ricerca per "sql developer" non portino a getsqldeveloper[.]com. Indicatore: dominio typosquatting o impersonazione nei risultati SEO.
  • Allineare l'EDR al nuovo pattern: configurare i prodotti di endpoint detection per segnalare il caricamento di DLL da path non standard all'interno di processi .NET attendibili, oltre al classico sideloading. Indicatore: DLL caricate tramite AppDomain hijacking in processi .NET legittimi.

Accelerazione in tempo di conflitto: una lettura oltre il tecnico

I dati convergenti da Check Point e Unit 42 disegnano un profilo operativo che sfida il paradigma convenzionale. L'attesa è che gruppi APT riducano l'attività esposta durante periodi di alta tensione. Nimbus Manticore ha fatto l'opposto.

Sergey Shykevich di Check Point Research ha sintetizzato: "They built and deployed a brand-new backdoor mid-conflict while operations were actively underway. [...] The conflict didn't slow them down; it actually accelerated them." L'accelerazione, secondo la valutazione di Check Point, è stata supportata dall'uso presumibile di strumenti LLM.

Unit 42 ha confermato il targeting di entità in fino a 5 paesi, con una società petrolifera statunitense inclusa nel perimetro. L'estensione geografica — dall'Arabia Saudita all'Australia agli Stati Uniti — indica ambizioni che, come ha notato Shykevich, "extended well beyond targeted espionage in the Middle East".

Il settore aviation è ora affiancato dal settore software come vettrina di accesso indiretto a supply chain più ampie. Il limite conosciuto resta la scala dell'infezione via SEO poisoning: non è quantificato quanti sviluppatori abbiano scaricato il fake SQL Developer. L'investimento in dozzine di domini indica però aspettative di ritorno, non un esperimento sporadico.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews