Ator iraniano ampliou cadeias de espionagem contra aviação, software, energia e telecomunicações usando iscas personalizadas, sequestro de AppDomain, instaladores trojanizados e uma nova backdoor com execução remota de comandos.
| Componente | Campanhas atribuídas ao Nimbus Manticore, também conhecido como Screening Serpens e UNC1549, com uso das famílias MiniFast, MiniUpdate, MiniJunk e MiniJunk V2. |
| Vetor | Phishing com falsas oportunidades de emprego, convites de reunião falsos, arquivo ZIP hospedado no OnlyOffice, instalador do Zoom trojanizado e página falsa de download do SQL Developer promovida por envenenamento de SEO. |
| Impacto | Persistência de longo prazo, execução remota de comandos, enumeração de processos e diretórios, operações em arquivos, carregamento de DLL, criação de arquivos ZIP, exfiltração de arquivos e download de carga adicional. |
| Prioridade | Investigar usuários expostos a iscas de carreira, reuniões suspeitas e downloads de ferramentas de desenvolvimento; revisar execução por sequestro de AppDomain, tarefas agendadas incomuns e comunicação HTTP periódica para servidores remotos. |
| Artefatos | Domínio defangado getsqldeveloper[.]com, instaladores trojanizados, DLL MiniJunk, backdoor MiniFast e uso de comando operacional omitido, runas e tarefas agendadas como capacidades da cadeia. |
| Alvos | Organizações e funcionários nos setores de aviação, software, defesa, telecomunicações, petróleo e gás, com atividade observada nos Estados Unidos, Europa, Oriente Médio, Arábia Saudita, Austrália, Israel, Emirados Árabes Unidos e outros países da região. |
O Nimbus Manticore, ator patrocinado pelo Estado iraniano e associado ao IRGC, foi ligado a uma sequência recente de campanhas de espionagem que combinaram engenharia social tradicional com uma mudança relevante no método de entrega. A atividade ocorreu após a campanha militar conjunta dos Estados Unidos e de Israel contra o Irã no fim de fevereiro de 2026 e envolveu iscas que se passavam por organizações dos setores de aviação e software. O conjunto de operações manteve o foco histórico do grupo em defesa, aviação e telecomunicações, mas também alcançou entidades em petróleo e gás e ampliou o alcance geográfico para alvos nos Estados Unidos, Europa, Oriente Médio, Arábia Saudita e Austrália.
A principal evolução técnica foi a introdução da backdoor MiniFast, também chamada de MiniUpdate, além do uso de MiniJunk V2 em campanhas paralelas. A MiniFast foi descrita como uma backdoor completa, voltada a persistência prolongada e execução remota de tarefas. Antes de entrar no ciclo de comandos, o malware envia informações básicas do sistema ao operador e, em seguida, passa a consultar um servidor remoto por HTTP para obter tarefas, transmitir resultados, exfiltrar arquivos e baixar cargas adicionais. A campanha também indicou sinais de desenvolvimento assistido por IA, refletidos em excesso de tratamento de erro, nomenclatura descritiva e repetitiva, mensagens detalhadas de status e estrutura modular para um código relativamente simples.
O período de fevereiro a abril de 2026 mostra três ondas técnicas distintas. Em fevereiro, o grupo abusou de iscas de carreira e do sequestro de AppDomain para entregar MiniJunk por meio de uma DLL maliciosa. Em março, manteve a mesma base de execução, mas passou a empregar um instalador do Zoom trojanizado para acionar a cadeia que implantava MiniFast. Em abril, a operação mudou para envenenamento de SEO, com uma página falsa de download do SQL Developer e dezenas de domínios usados para tentar elevar a visibilidade do site fraudulento em mecanismos de busca.
Na onda de fevereiro, funcionários dos setores de software e aviação na Arábia Saudita e na Austrália foram atraídos por falsas oportunidades de emprego. A vítima era induzida a baixar um arquivo ZIP hospedado no OnlyOffice. Dentro do pacote havia um executável benigno que, quando iniciado, acionava uma técnica de sequestro de AppDomain. Essa técnica permitia que uma DLL MiniJunk não legítima fosse carregada no contexto do fluxo esperado, reduzindo a necessidade de um binário malicioso evidente no primeiro estágio. O valor defensivo desse detalhe está na relação entre arquivo comprimido, executável aparentemente confiável e carregamento de DLL fora do padrão operacional do aplicativo.
Em março, a cadeia manteve a lógica de abuso de componentes aparentemente legítimos, mas substituiu parte da isca por um instalador do Zoom trojanizado. A atividade foi associada a convites de reunião falsos, sugerindo que o operador alternava entre promessa de emprego e interação profissional simulada para levar a vítima a iniciar a execução. O instalador adulterado iniciava o binário responsável por aproveitar o sequestro de AppDomain e implantar a MiniFast. A precondição comum entre as duas ondas era a interação do usuário com um artefato entregue por engenharia social, sem indicação de exploração remota automática de vulnerabilidade de software.
Em abril, o ator adotou uma forma diferente de aquisição de vítima. Em vez de depender apenas de spear phishing ou contato direto, a campanha usou envenenamento de SEO contra usuários que procuravam o SQL Developer. A página falsa imitava um local de download e entregava um instalador armado com MiniFast. O domínio getsqldeveloper[.]com aparece como indicador defangado essencial da operação, acompanhado por dezenas de domínios que apontavam para ele, provavelmente para manipular sinais de reputação baseados em links. Essa alteração é relevante porque muda a telemetria inicial: a defesa deixa de observar somente mensagens de phishing e passa a precisar correlacionar navegação de usuários técnicos, downloads de instaladores e execução subsequente em estáções de trabalho.
Depois da implantação, a MiniFast inicia comunicação HTTP com servidor remoto. A backdoor suporta listagem de diretórios, operações em arquivos, enumeração de processos, execução de comandos por comando operacional omitido, término de processos por PID, carregamento de DLL, criação de arquivos ZIP, persistência por tarefas agendadas, tentativa de elevação por runas, atualização do intervalo de consulta e aplicação de jitter para variar a frequência de beacon. Essas capacidades indicam uma ferramenta orientada a controle pós-comprometimento e coleta, com flexibilidade para operar em baixa cadência e reduzir padrões simples de detecção baseados apenas em periodicidade fixa.
A superfície exposta não se limita a servidores. O ponto inicial observado é o endpoint de usuários em áreas visadas, especialmente profissionais com acesso a software, engenharia, aviação, telecomunicações, defesa, petróleo e gás. Ambientes em que funcionários baixam instaladores por conta própria, participam de processos seletivos externos ou recebem convites de reunião de contatos não verificados têm maior exposição operacional. Como a cadeia depende de artefatos que imitam ferramentas conhecidas, controles de allowlist, validação de assinatura, reputação de origem e inventário de software instalado são mais importantes do que bloqueios baseados apenas em nome de arquivo.
A campanha também cria risco para equipes de desenvolvimento, porque o abuso de uma página falsa de SQL Developer mira diretamente usuários que procuram uma ferramenta legítima. Isso aumenta a chance de execução em máquinas com acesso a repositórios, credenciais de banco de dados, VPN, tokens de desenvolvimento, ambientes internos e canais de CI/CD. O material analisado não confirma roubo de credenciais ou comprometimento de pipeline, portanto esses pontos devem ser tratados como ativos em risco quando um endpoint técnico executa a backdoor, não como impacto já confirmado.
- Estáções de trabalho de funcionários abordados por falsas vagas, falsas reuniões ou downloads de ferramentas de desenvolvimento.
- Setores citados no contexto: aviação, software, defesa, telecomunicações, petróleo e gás.
- Regiões e países citados: Estados Unidos, Europa, Oriente Médio, Arábia Saudita, Austrália, Israel e Emirados Árabes Unidos.
- Máquinas em que houve execução de ZIP hospedado no OnlyOffice, instalador do Zoom não verificado ou instalador de SQL Developer obtido por página falsa.
A investigação deve começar pela linha do tempo de navegação, e-mail, downloads e execução. Em fevereiro e março, os sinais mais relevantes ficam em mensagens com temas de carreira, anexos ou links para arquivos ZIP, convites de reunião incomuns e uso de instaladores que não vieram de canais corporativos aprovados. Em abril, a telemetria de proxy, DNS e navegador ganha prioridade porque o usuário pode ter chegado ao instalador por busca comum. Consultas ou acessos ao domínio defangado getsqldeveloper[.]com, bem como a domínios recém-criados que redirecionam para páginas de download, devem ser tratados como pivôs de investigação.
No endpoint, a caça deve procurar carregamento anômalo de DLL associado a executáveis benignos, especialmente quando o caminho de DLL não corresponde ao diretório esperado do fornecedor ou aparece próximo de arquivos extraídos de ZIP. O uso de AppDomain hijacking tende a deixar rastros no encadeamento de processo, nos módulos carregados e no relacionamento entre processo pai, executável legítimo e biblioteca não reconhecida. Para a MiniFast, sinais adicionais incluem criação ou alteração de tarefas agendadas, execução de comando operacional omitido por processo incomum, enumeração de processos, compressão de arquivos em ZIP sem ação explícita do usuário e tentativas de uso de runas.
Na rede, a MiniFast usa HTTP para registrar informações básicas do sistema, buscar tarefas e enviar resultados. O jitter configurável dificulta regras baseadas em intervalo fixo, então a detecção deve combinar periodicidade aproximada, destino incomum, perfil do processo originador e volume pequeno de requisições com respostas que antecedem execução local. A ausência de uma lista ampla de IoCs no contexto impede regras baseadas em infraestrutura específica; o caminho mais robusto é correlacionar download inicial, execução do instalador ou ZIP e beacon posterior saindo do mesmo endpoint.
- Acesso ao domínio defangado
getsqldeveloper[.]comou a páginas que imitam download do SQL Developer. - ZIP hospedado no OnlyOffice seguido por execução local de binário benigno e carregamento de DLL não reconhecida.
- Instalador do Zoom fora do canal oficial, especialmente após convite de reunião suspeito.
- Tarefas agendadas recém-criadas por processo sem relação com administração legítima.
- Execução de comando operacional omitido ou tentativa com
runasiniciada por processo ligado ao instalador ou à backdoor. - Comunicação HTTP periódica, com jitter, originada de processo não esperado e seguida por operações em arquivos ou enumeração de processos.
A resposta deve priorizar contenção de endpoints que executaram artefatos relacionados às iscas. Máquinas com acesso ao domínio falso, execução de instalador do Zoom não aprovado, execução de ZIP hospedado no OnlyOffice ou sinais de sequestro de AppDomain devem ser isoladas para aquisição de evidências e análise de persistência. A remoção simples do arquivo inicial não é suficiente, porque a MiniFast possui capacidade de persistir por tarefa agendada, carregar DLL, baixar carga adicional e alterar intervalos de comunicação. A investigação precisa validar processos em execução, módulos carregados, tarefas agendadas, diretórios temporários, histórico de downloads e conexões HTTP recentes.
Como a campanha explora confiança do usuário e ferramentas conhecidas, os controles preventivos devem combinar restrição de instalação, validação de assinatura, reputação de origem e bloqueio de execução a partir de diretórios de download e extração. Para equipes de desenvolvimento, é importante reforçar que ferramentas como SQL Developer devem ser obtidas apenas por canais corporativos aprovados ou repositórios internos validados. Em paralelo, filtros de e-mail e navegação devem tratar temas de carreira, convites de reunião externos e páginas de download recém-observadas como sinais de risco quando combinados com setores ou cargos sensíveis.
Depois da contenção, a validação deve confirmar se houve execução remota de comandos, compressão de arquivos, tentativa de exfiltração ou download de carga adicional. O contexto sustenta capacidade de exfiltração de arquivos, mas não confirma quais dados foram retirados em cada ambiente. Por isso, a avaliação de impacto deve ser baseada em evidência local: arquivos acessados, arquivos ZIP criados, volume de tráfego, destinos contatados, comandos registrados por EDR e permissões da conta do usuário. Credenciais associadas ao endpoint comprometido, sessões de VPN, tokens de desenvolvimento e acessos a sistemas internos devem ser revisados e rotacionados quando a telemetria indicar execução da backdoor em máquina com esses privilégios.
- Isolar endpoints com execução de ZIP do OnlyOffice, instalador do Zoom trojanizado ou instalador falso de SQL Developer.
- Bloquear o domínio defangado
getsqldeveloper[.]come pesquisar acessos históricos em DNS, proxy e logs de navegador. - Remover persistência por tarefas agendadas apenas após coleta de evidências e identificação do processo responsável.
- Revisar carregamento de DLL em processos benignos e caminhos de execução associados a arquivos baixados ou extraídos.
- Aplicar controle de instalação para ferramentas de desenvolvimento e exigir origem aprovada para SQL Developer, Zoom e utilitários similares.
- Correlacionar execução local, comunicação HTTP e operações em arquivos antes de concluir se houve apenas implantação ou atividade pós-comprometimento.
0 Comentários