Nimbus Manticore 利用 AI 辅助恶意软件和虚假 Zoom 安装程序扩大攻击范围

Nimbus Manticore 在战时加速了网络攻击，使用了 AI 辅助的恶意软件、虚假 Zoom 安装程序以及 SEO 投毒技术。

2026 年 2 月底，当美国对伊朗发起“史诗之怒行动”（Operation Epic Fury）时，大多数分析人士预计该国的网络力量会蛰伏以躲避风暴。但事实并非如此。Check Point 的研究人员记录到了更令人不安的情况：与伊朗有关的威胁组织 Nimbus Manticore（又名 UNC1549）利用活跃冲突造成的混乱作为掩护，加速其行动，推出新恶意软件，并尝试从未使用过的交付方法。

Check Point 发布的报告指出：“该活动利用了冒充美国、欧洲和中东地区航空和软件行业组织的恶意诱饵。我们首次观察到使用 SEO 投毒作为额外的恶意软件交付方法。”

该 APT 组织隶属于伊朗伊斯兰革命卫队（IRGC），多年来一直受到威胁情报专家的关注，主要通过以职业生涯为主题的钓鱼攻击和足以欺骗大公司员工的虚假工作机会，针对国防、航空和电信组织发动攻击。然而，Check Point 在今年 2 月至 4 月期间观察到的情况远远超出了其既定的剧本。

该活动分为三个明显的阶段展开：

第一阶段甚至在冲突爆发前就开始了，当时紧张局势正在加剧。沙特阿拉伯和澳大利亚的软件及航空公司员工收到了虚假的工作邀约，诱使他们下载托管在 OnlyOffice 上的 ZIP 压缩包。里面包含一个由微软签名的良性可执行文件，以及一个恶意配置文件，该文件利用了一种称为 AppDomain 劫持的技术，滥用 .NET 运行时在受信任进程的掩护下静默加载恶意 DLL。这交付了该组织现有 MiniJunk 后门的一个更新变种。

第二阶段恰逢“史诗之怒行动”开始的前几周，显示该组织迅速调整了战术。除了通常的虚假航空公司工作邀约外，攻击者还部署了经过木马改造的 Zoom 安装程序，几乎可以肯定是通过虚假会议邀请分发的。该安装程序并非粗糙的仿制品；它展示了对合法 Zoom 安装过程的详细了解，甚至监控 Zoom 在安装过程中通常创建的特定计划任务，然后静默劫持该任务以建立持久性而不触发明显的警报。这一阶段还引入了一个此前未见的后门，Check Point 将其命名为 MiniFast，取代 MiniJunk 成为最终负载。

报告指出：“该行动引入了一种此前未记录的后门，名为 MiniFast，它似乎融合了 AI 辅助开发实践，使威胁行为者能够在战争期间快速开发和适应工具，同时保持高度的作战可用性。”

MiniFast 在技术上值得注意的不仅是其功能——尽管它是一个功能齐全的远程访问特洛伊木马，支持文件操作、进程管理、权限提升和 DLL 加载——还有其编写方式。

报告指出：“该活动还提供了多个迹象，表明威胁行为者在恶意软件创建过程中利用了 AI 辅助开发。我们在初始访问加载器和 MiniFast 后门本身中都看到了这方面的证据。几种编码模式和实现细节强烈表明在开发过程中使用了 AI 生成或 AI 辅助的代码，包括过度的错误处理和防御性编程逻辑，甚至围绕像 GetUserName 这样简单的 API 调用。”

对于任何花时间审查 AI 生成代码的人来说，这些特征相当容易识别：过于描述性的函数名、嵌入在整个代码库中的冗长的调试风格错误字符串，以及与程序实际复杂度略显不成比例的模块化代码组织。这表明 Nimbus Manticore 不再仅仅依赖经验丰富的恶意软件开发人员，而是开始使用 AI 工具来加速生产并在行动中期填补能力缺口。

第三阶段于 4 月停火后观察到的，标志着该组织首次使用不同的交付机制。

报告继续说道：“这种恶意软件交付方法与 Nimbus Manticore 通常依赖职业主题钓鱼诱饵的感染链不同。在此次活动中，攻击者滥用搜索引擎优化技术，注册了数十个链接到虚假域名 getsqldeveloper[.]com 的域名。” “这可能是试图通过基于链接的信誉信号来提高网站的可见性。”

威胁行为者建立了一个虚假网站，冒充 Oracle SQL Developer（一种广泛使用的数据库管理工具）的合法下载页面。找到该网站的用户（确实有很多，因为它在 Bing 和 DuckDuckGo 上针对常见搜索词的搜索结果中排名靠前）收到了植入 MiniFast 后门的恶意安装程序。没有鱼叉式钓鱼邮件，没有虚假工作邀约。只是一个正在寻找他们实际需要的软件的开发者。

综合来看，这三个阶段描绘了一幅图景：该组织不仅在活跃军事冲突期间的压力下幸存下来，而且从中找到了一种作战紧迫感。

报告指出：“中东持续的冲突以及战时活动的作战需求，似乎显著加速了其恶意软件的演变。” “作为一个在高度地缘政治条件下运作的 IRGC 附属实体，Nimbus Manticore 展示了对新技术、工具和作战方法的快速采用周期。”

从防御者的角度来看，扩展到 SEO 投毒可能是最重要的战术发展。鱼叉式钓鱼虽然有效，但需要识别并针对特定个人。SEO 投毒是被动的且可扩展的，它只需等待受害者上门。结合缩短从想法到有效植入物之间差距的 AI 辅助开发，Nimbus Manticore 正成为一个更难预测的对手。

Nimbus Manticore 主要针对欧洲、中东和非洲的组织，特别是以色列和阿联酋，但最近的行动已扩展到美国航空业。该组织针对特定行业定制钓鱼诱饵，利用虚假航空公司招聘门户针对航空员工。目前的行动也针对软件开发组织，这与 IRGC 更广泛的情报收集目标一致。

这家网络安全公司提供了这些活动的入侵指标（IoC）和 YARA 规则。

报告总结道：“作为一个在高度地缘政治条件下运作的 IRGC 附属实体，Nimbus Manticore 展示了对新技术、工具和作战方法的快速采用周期。该行为者在‘史诗之怒行动’期间的活动突显了其日益增强的适应性，特别是通过整合 AI 辅助恶意软件开发、新型感染载体和高级隐蔽机制。”