Иранская APT-группа Nimbus Manticore, связанная с Корпусом стражей исламской революции (КСИР), обновила инструменты и тактику в новых атаках на авиационные и софтверные компании. Атаки затронули цели в США, Европе и на Ближнем Востоке. Исследователи Check Point фиксируют свежие фишинговые приманки, обновленный бэкдор MiniJunk, использование OnlyOffice для доставки архивов и новый для группы приём с SEO-продвижением вредоносных страниц.
Check Point отслеживает Nimbus Manticore как группу, пересекающуюся с UNC1549, Smoke Sandstorm и Iranian Dream Job. В более широкой вендорской атрибуции этот кластер также связывают с TA455, Bohrium/BOHRIUM и Yellow Dev 13.Группа активна как минимум с 2022 года и в прошлых кампаниях ее связывали с операциями против аэрокосмического, оборонного, телекоммуникационного и технологического секторов. Check Point относит ее к зрелым Iran-nexus APT.
Главная приманка осталась знакомой: фальшивые вакансии и рекрутинговые сообщения. Сотрудникам авиационных и софтверных компаний отправляли сообщения, похожие на предложение о работе или деловую переписку. В одном из свежих сценариев жертву так привели к ZIP-архиву, размещённому через платформу OnlyOffice. После открытия цепочка запускала заражение новой версией MiniJunk.
Такой подход работает именно против специалистов из целевых отраслей. Инженеры, разработчики, менеджеры по продукту, специалисты по интеграциям и сотрудники авиационных подрядчиков регулярно получают документы, архивы, NDA, тестовые задания, описания вакансий и приглашения на встречи. Атакующим не нужно придумывать экзотическую легенду: достаточно сделать файл похожим на обычную рабочую переписку.
MiniJunk — не массовый троян «для всех подряд». Это бэкдор, который используется в точечных APT-операциях. Ранние кампании Nimbus Manticore уже применяли MiniJunk и MiniBrowse против оборонных, телекоммуникационных и авиационных целей в Европе и на Ближнем Востоке. Новая версия показывает, что группа не бросила старый стек, а дорабатывает его под свежие операции.
Отдельная техническая деталь MiniJunk — новый способ загрузки вредоносной DLL через троянизированный XML .config-файл. Такой файл кладётся в директорию целевого .NET-приложения. При запуске приложение читает конфигурацию, а злоумышленники используют этот механизм для загрузки вредоносной библиотеки. Так процесс может выглядеть как легитимное .NET-приложение, а вредоносная логика подключается через конфигурацию.
Это не классическая DLL side-loading-схема с подменой библиотеки рядом с EXE-файлом, но идея похожа: атакующий прячется за нормальным приложением и легитимной логикой загрузки. В результате SOC видит обычный процесс, который внезапно начинает вести себя как часть многоступенчатой атаки.
В свежей кампании Check Point также увидела использование троянизированного установщика Zoom — MiniFast. Исследователи связывают его с фишинговыми приглашениями на встречи. Для жертвы это выглядит как понятный рабочий сценарий: нужно подключиться к звонку, установить клиент или обновление, открыть архив, пройти дальше. Для атакующих это удобный способ довести пользователя до запуска файла без грубого давления.
Ещё один новый элемент — SEO poisoning, или продвижение вредоносных страниц в поисковой выдаче. Check Point указывает, что впервые заметила этот приём в операциях Nimbus Manticore. Раньше группа делала ставку на персонализированный spear-фишинг и фальшивые HR-порталы. Теперь к цепочке добавился способ ловить людей через поисковые запросы.
Для авиационных и софтверных компаний это особенно неприятно. Сотрудник может попасть на вредоносную страницу не из письма, а через поиск: ищет вакансию, документацию, партнёрский портал, софт для встречи или рабочий инструмент. Формально он сам пришёл на сайт, а не открыл подозрительное вложение.
Nimbus Manticore давно использует карьерные легенды. В кампаниях 2025 года злоумышленники выдавали себя за рекрутеров известных аэрокосмических и телекоммуникационных компаний, вели жертв на правдоподобные порталы и выдавали персональные логины. После входа пользователю отдавали вредоносный архив. Такая схема позволяла контролировать доступ к приманке и отслеживать конкретных жертв.
Текущие атаки выглядят как развитие той же линии. Группа сохраняет фокус на людях с доступом к ценным системам: авиационное ПО, разработка, инфраструктура, подрядчики, поставщики и компании с технологическими связями с крупными организациями. Цель такой операции обычно не быстрый финансовый ущерб, а доступ, разведка, закрепление и сбор данных.
В отчёте Check Point также подчёркивается быстрая адаптация Nimbus Manticore. Группа меняла инфраструктуру, дорабатывала инструменты и сохраняла рабочие операции даже при давлении на домены и серверы. Check Point допускает, что часть скорости разработки могла поддерживаться LLM-инструментами.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
