Ator vinculado ao IRGC combinou phishing com tema de carreira, instaladores trojanizados e páginas falsas de download para entregar backdoors Windows em setores de software, aviação, defesa, telecomunicações e bancos de dados.
| Componente | Operações do ator Nimbus Manticore, também rastreado como UNC1549, com uso dos backdoors MiniJunk e MiniFast em ambientes Windows. |
| Vetor | Phishing com falsas oportunidades de carreira, convites falsos de reunião, instalador trojanizado do Zoom e site falso de download de SQL Developer, com execução por AppDomain Hijacking e tarefas agendadas. |
| Impacto | Execução de código em processo confiável, persistência por tarefa agendada, reconhecimento de host, registro no C2 e recebimento de comandos remotos por estruturas serializadas codificadas em Base64. |
| Prioridade | Investigar execuções de Setup.exe, Update.exe, DLLs em diretórios de usuário, arquivos .config com AppDomainManager, tarefas agendadas do Zoom modificadas e tráfego HTTP para endpoints de registro e polling. |
| Artefatos | uevmonitor.dll, InitInstall.dll, Updater.dll, UpdateChecker.dll, Zoominstall64.zip, Zoom_cm.exe, Update.exe, função exportada CheckForUpdates e domínio getsqldeveloper[.]com. |
| Técnicas | AppDomain Hijacking, abuso de assinaturas digitais via SSL.com, ofuscação leve com ROT13 e strings invertidas, monitoramento de tarefa agendada, SEO poisoning e comunicação C2 com JSON e Base64. |
Nimbus Manticore, também acompanhado como UNC1549, aparece em uma sequência recente de operações alinhadas a interesses iranianos durante tensões geopolíticas no Oriente Médio. O ator é descrito como vinculado ao IRGC e historicamente direcionado a setores de defesa, aviação e telecomunicações. A atividade mais recente expande esse escopo operacional com alvos em organizações de software e aviação, além de uma cadeia de infecção voltada a usuários que procuram uma ferramenta de banco de dados. O ponto central não é apenas a isca social, mas a troca de métodos de execução: em vez de depender somente de carregamento lateral de DLL, a campanha passou a abusar de AppDomain Hijacking para executar código malicioso dentro de aplicações .NET legítimas.
A operação foi observada em ondas distintas. Em fevereiro de 2026, o ator distribuiu arquivos por meio de campanhas de phishing com tema de carreira e direcionou organizações na Arábia Saudita e na Austrália para um arquivo ZIP hospedado na plataforma OnlyOffice. Depois, durante a Operação Epic Fury, a atividade continuou com iscas que simulavam uma companhia aérea dos Estados Unidos e com um instalador trojanizado do Zoom, avaliado como parte de convites falsos de reunião. Em abril, surgiu outro método: uma página falsa que imitava download de SQL Developer, apoiada por registro de dezenas de domínios usados para elevar a reputação de links e posicionar o domínio getsqldeveloper[.]com em mecanismos de busca como Bing e DuckDuckGo para a consulta “sql developer”.
A evolução do arsenal também é relevante. O framework MiniJunk, documentado em 2025 em ataques contra organizações de alto perfil na Europa Ocidental e no Oriente Médio, continuou aparecendo em parte das cadeias. Em seguida, a carga final passou a incluir MiniFast, um backdoor Windows em formato DLL PE de 64 bits com exportação única chamada CheckForUpdates. O implante foi descrito como uma porta dos fundos completa para persistência prolongada e execução remota de comandos. A análise de múltiplas amostras indica desenvolvimento ativo, com modificações e melhorias entre versões, além de sinais de uso de ferramentas baseadas em LLM ou desenvolvimento assistido por IA em loaders e no próprio backdoor.
O uso de AppDomain Hijacking depende de uma condição específica do ecossistema .NET. O operador coloca um arquivo XML .config trojanizado no mesmo diretório de uma aplicação legítima, com nome derivado do binário abusado e sufixo .config. Esse arquivo define uma classe AppDomainManager controlada pelo invasor e aponta para uma DLL maliciosa. Quando a aplicação é iniciada, o runtime .NET carrega a DLL indicada, permitindo execução de código dentro do contexto de um processo que tende a parecer confiável para usuários, ferramentas de inventário e algumas regras superficiais de detecção.
Na cadeia associada a falsas oportunidades de carreira, a execução de setup.exe dispara o primeiro loader, uevmonitor.dll. Esse componente extrai e implanta a próxima etapa, armazenada de forma criptografada dentro do próprio loader. Os arquivos extraídos são gravados em C:\Users\<usuário>\AppData\Local\Packages\ e incluem um executável legítimo usado para carregamento lateral de DLL junto de uma DLL maliciosa identificada como nova versão do backdoor MiniJunk. O loader mantém comportamentos vistos em variantes anteriores, como validar se foi carregado pelo processo Setup.exe e exibir uma falsa mensagem de erro, Couldn't connect to survey server, para simular falha de aplicação e reduzir suspeita do usuário.
A cadeia do instalador trojanizado do Zoom segue uma lógica mais integrada ao fluxo real da aplicação. A vítima baixa Zoominstall64.zip e executa Setup.exe. A DLL InitInstall.dll é acionada por AppDomain Hijacking com o arquivo .config correspondente. O loader é levemente ofuscado: strings legíveis são descriptografadas em tempo de execução por combinação de ROT13 e inversão de strings, enquanto o restante do código preserva nomes de funções significativos e lógica estruturada. Durante a execução, ele mostra uma janela falsa de progresso de instalação e inicia o instalador legítimo Zoom_cm.exe, o que faz o processo parecer uma instalação normal.
Depois de iniciar o instalador, o malware entra em um loop de cerca de um minuto para monitorar a criação de uma tarefa agendada normalmente produzida pelo instalador legítimo do Zoom. Quando a tarefa aparece, ela é sequestrada e alterada para executar o segundo estágio. Essa escolha reduz o ruído operacional porque o implante não precisa criar um mecanismo de persistência completamente novo; ele reaproveita um artefato esperado da instalação. Os arquivos seguintes são copiados para C:\Users\<usuário>\AppData\Local\Zoom\bin\update, incluindo um binário benigno assinado pela Microsoft, renomeado para Update.exe. O malware volta a abusar de AppDomain Hijacking para carregar Updater.dll por meio desse processo confiável.
O segundo loader repete a rotina de descriptografia baseada em ROT13 e strings invertidas, mas adiciona validações simples contra análise. A execução só continua quando a DLL é carregada pela cadeia esperada e quando a origem está associada à persistência por tarefa agendada, em vez de uma execução direta por explorer.exe ou outro caminho fora do fluxo planejado. A função principal desse estágio é carregar dinamicamente o payload final UpdateChecker.dll, localizar a exportação CheckForUpdates e executá-la. Essa estrutura encadeada cria múltiplos pontos de confiança aparente: processo legítimo, tarefa agendada legítima modificada e diretório compatível com atualização de aplicativo.
A superfície de risco combina usuários expostos a engenharia social e estáções Windows capazes de executar instaladores ou binários .NET acompanhados de arquivos .config. Em fevereiro, as iscas com tema de carreira miraram funcionários de organizações selecionadas, com destaque para setores de software e aviação, e houve direcionamento de organizações na Arábia Saudita e na Austrália para arquivo ZIP hospedado em OnlyOffice. Em outra onda, convites falsos de reunião e um instalador trojanizado do Zoom ampliaram a probabilidade de execução porque o fluxo visual reproduzia uma instalação plausível e ainda acionava o instalador legítimo.
A página falsa de SQL Developer expande a superfície para usuários técnicos, administradores, analistas de dados e desenvolvedores que procuram uma ferramenta gráfica para trabalhar com bancos de dados. O domínio getsqldeveloper[.]com foi promovido por dezenas de domínios vinculados e por uso repetitivo de termos como “Download SQL Developer” e “SQL Developer Free”. Essa abordagem torna o vetor menos dependente de e-mail direcionado e mais dependente de tráfego orgânico de busca. Ambientes que permitem download direto de ferramentas por usuários, sem repositório interno validado, controle de reputação ou inspeção de instaladores, ficam mais expostos a esse tipo de entrega.
As cadeias observadas também abusam de confiança operacional. Muitos arquivos usados na campanha possuíam assinaturas digitais válidas emitidas via SSL.com, e pelo menos dois certificados foram identificados durante a atividade. A presença de assinatura não transforma o binário em benigno; ela apenas muda o tipo de validação que defensores devem aplicar. Em vez de aceitar assinatura como critério único, equipes precisam correlacionar editor, caminho, processo pai, arquivo .config, criação ou modificação de tarefa agendada e execução de DLLs em diretórios de perfil do usuário.
- Organizações de defesa, aviação, telecomunicações, software e usuários que buscam ferramentas de banco de dados aparecem no escopo descrito da atividade.
- Estáções Windows com execução de instaladores baixados pelo usuário e aplicações .NET acompanhadas de arquivos
.configsão o principal ponto de execução. - Diretórios de perfil como
C:\Users\<usuário>\AppData\Local\Packages\eC:\Users\<usuário>\AppData\Local\Zoom\bin\updateaparecem na implantação dos estágios.
A caça deve começar pela correlação entre binários legítimos, arquivos .config inesperados e DLLs carregadas no mesmo diretório. Em AppDomain Hijacking, o arquivo de configuração é decisivo: ele define AppDomainManager e aponta para uma DLL do operador. Portanto, não basta procurar apenas nomes de malware. É necessário listar pares de executável e .config em diretórios graváveis por usuário, verificar referências a classes não esperadas e revisar carregamentos de DLL que ocorram imediatamente após a inicialização de instaladores ou utilitários de atualização.
No fluxo do Zoom, a telemetria de tarefa agendada é crítica. O malware aguarda a criação de uma tarefa legítima do instalador e a modifica para executar o segundo estágio. Eventos de criação e alteração de tarefas, especialmente próximos à execução de Setup.exe e Zoom_cm.exe, devem ser analisados com o comando final, usuário, processo responsável pela mudança e caminho do executável. A presença de Update.exe em AppData\Local\Zoom\bin\update, acompanhado de Updater.dll e de um arquivo .config, merece investigação porque reproduz o padrão de execução por processo confiável descrito na campanha.
A comunicação do MiniFast também fornece sinais úteis. O backdoor coleta nome de usuário, hostname e informações de domínio, monta um clientId e envia esses dados para o endpoint /rg via requisição POST. Se recebe HTTP 200, segue sem processar o corpo; se recebe HTTP 400, interpreta um JSON com socketId, usado como identificador de sessão nas comunicações futuras. A resposta pode ainda trazer pollInterval e jitterTime, permitindo ao operador ajustar o intervalo e a variação temporal das conexões. Depois, o host é registrado em /agent/init, e somente após HTTP 200 o implante busca comandos com GET para /agent/poll?token=. Nessa etapa, a comunicação deixa de usar JSON e passa a transportar estruturas de tarefas serializadas e codificadas em Base64.
No endpoint, a cadeia se disfarça como tráfego de navegador Chrome por meio de User-Agent fixo: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/146.0.0.0 Safari/537.36. Esse valor deve ser avaliado com cautela, porque pode gerar falsos positivos em ambientes onde strings semelhantes existam por outros motivos. O valor ganha força quando combinado com processo de origem incomum, caminho em AppData, execução por Update.exe, ausência de interface de navegador real e sequência de endpoints /rg, /agent/init e /agent/poll?token=.
- Arquivos
.configem diretórios de usuário contendo referência aAppDomainManagere DLL fora do padrão da aplicação. - Execução de
Setup.exe,Update.exe,InitInstall.dll,Updater.dllouUpdateChecker.dlla partir de arquivos ZIP ou caminhos de atualização emAppData. - Alteração de tarefa agendada do Zoom logo após execução de instalador, especialmente quando o comando passa a apontar para componente em
AppData\Local\Zoom\bin\update. - Requisições HTTP para
/rg,/agent/inite/agent/poll?token=com dados de host, uso posterior de Base64 e User-Agent fixo de Chrome. - Download ou resolução de
getsqldeveloper[.]comem estáções usadas por desenvolvedores, administradores de banco de dados ou equipes técnicas.
A resposta deve priorizar contenção de hosts que executaram instaladores relacionados às cadeias descritas. Em estáções suspeitas, isole o endpoint antes de remover artefatos para preservar evidência de processo, tarefa agendada, arquivos .config, DLLs e conexões. Colete a árvore de processos de Setup.exe, Zoom_cm.exe, Update.exe e qualquer binário em AppData\Local\Packages ou AppData\Local\Zoom\bin\update. Revise tarefas agendadas criadas ou modificadas no intervalo da instalação e compare o comando atual com o comportamento esperado do Zoom legítimo. A remoção direta sem coleta pode apagar a sequência que diferencia instalação normal de sequestro de persistência.
Na prevenção, reduza a dependência de download direto de ferramentas por usuários. Para SQL Developer, Zoom e softwares usados por áreas técnicas, publique fontes internas aprovadas, hashes corporativos quando disponíveis internamente e instruções de instalação por gerenciador confiável ou portal controlado. Bloqueie ou alerte para domínios de download recém-observados que imitam marcas de ferramentas, especialmente quando a página combina termos repetitivos de busca e entrega instaladores por arquivo compactado. Em gateways e EDR, trate arquivos .config ao lado de executáveis como artefatos executáveis relevantes, não como simples configuração administrativa.
Como a campanha abusou de arquivos assinados e de binários legítimos, a mitigação não deve se basear apenas em bloqueio por reputação de assinatura. Regras devem considerar escrita de DLL em diretório de usuário, execução de binário assinado fora de seu caminho esperado, presença de AppDomainManager, cadeia de processo, alteração de tarefa agendada e comunicação com endpoints de registro e polling. Para ambientes com telemetria de rede, crie detecções combinadas para User-Agent fixo, endpoints /rg, /agent/init e /agent/poll?token=, respostas HTTP 400 seguidas de extração de identificador de sessão e tráfego com estruturas Base64 após o registro do agente.
Depois da contenção, revise credenciais e exposição do host comprometido. O contexto descreve reconhecimento básico de usuário, hostname e domínio, além de execução remota de comandos, o que justifica análise de ações pós-comprometimento mesmo quando não houver confirmação de exfiltração no endpoint específico. Verifique acessos recentes a recursos internos, artefatos de linha de comando, persistências adicionais, conexões incomuns e uso de contas do usuário afetado. Se o host pertencer a área de software, aviação, telecomunicações, defesa ou administração de banco de dados, amplie a busca para repositórios, ferramentas de acesso remoto, credenciais de banco e tokens locais presentes no perfil do usuário, sem assumir vazamento quando a telemetria não confirmar saída de dados.
- Isolar hosts com execução dos instaladores ou artefatos citados antes de remover arquivos, preservando árvore de processos, tarefas agendadas e conexões.
- Bloquear e investigar
getsqldeveloper[.]com, além de revisar pesquisas e downloads deSQL Developerfeitos fora de fontes aprovadas. - Procurar e remover arquivos
.configmaliciosos que definamAppDomainManagerpara DLLs não autorizadas ao lado de executáveis legítimos. - Restaurar tarefas agendadas modificadas, validar comandos do Zoom e remover componentes em
AppData\Local\Zoom\bin\updateque não pertençam ao pacote legítimo. - Criar detecções para
/rg,/agent/init,/agent/poll?token=, User-Agent fixo de Chrome, estruturas Base64 de tarefas e execução da exportaçãoCheckForUpdatesemUpdateChecker.dll.
0 Comentários