伊朗黑客通过网络钓鱼和 SEO 投毒部署 MiniFast 和 MiniJunk V2

Check Point 在上周发布的分析报告中指出，被称为 Nimbus Manticore（又名 Screening Serpens 和 UNC1549）的伊朗国家支持威胁行为者，在2026年2月底美以联合军事行动针对伊朗后，发起了一场新的活动，使用诱饵冒充美国、欧洲和中东地区航空和软件行业的组织。

该活动除了采用此前未记录的技术和增强能力外，其特点还在于使用了一个代号为 MiniFast（又名 MiniUpdate）的新后门，该后门似乎是在人工智能（AI）的帮助下开发的。

Nimbus Manticore 隶属于伊朗伊斯兰革命卫队（IRGC），以使用职业主题的网络钓鱼诱饵针对国防、航空和电信部门而闻名。这些活动也被代号为 Iranian Dream Job，原因是其战术与朝鲜黑客策划的 Operation Dream Job 具有相似性。

与该威胁行为者关联的最近攻击链显示出战术转变，证据包括：在 2026 年 2 月使用 AppDomain 劫持投递 MiniJunk，随后在 3 月部署了 MiniFast 后门，并在 4 月依赖 SEO 投毒分发 Oracle SQL Developer 软件的木马版本。

在战争开始前观察到的第一波活动中，沙特阿拉伯和澳大利亚软件及航空行业的员工成为目标，攻击者以虚假的职业机会诱骗他们下载托管在 OnlyOffice 上的 ZIP 压缩包。在 ZIP 文件中运行一个 benign 可执行文件会利用称为 AppDomain 劫持的技术启动恶意 MiniJunk DLL。

研究发现，2026 年 3 月的活动或多或少遵循相同的方法，只是这次威胁行为者还使用了被植入木马的 Zoom 安装程序作为攻击序列的一部分，启动二进制文件后，该二进制文件再利用 AppDomain 劫持部署 MiniFast。怀疑该活动是使用虚假会议邀请的网络钓鱼活动的一部分。

有迹象表明，Nimbus Manticore 使用 AI 辅助开发来帮助创建 MiniFast，这包括：过度的错误处理和防御性编程逻辑、重复的函数和方法命名模式（使用描述性或冗长标识符）、多个详细的错误报告字符串和调试风格的状态消息，以及尽管恶意软件整体简单但仍采用模块化代码组织。

Check Point 表示，上个月还观察到一个冒充 SQL Developer 下载页面的虚假网站，通过 SEO 投毒诱使访问该页面的访客下载武器化安装程序，该安装程序会投递 MiniFast。这是该威胁行为者首次采用这种方法进行恶意软件投递。

该公司表示：“这种恶意软件投递方法与 Nimbus Manticore 通常的感染链不同，后者通常依赖职业主题的网络钓鱼诱饵。在这次活动中，攻击者滥用搜索引擎优化技术，注册了数十个指向虚假域名 getsqldeveloper[.]com 的域名，这可能是试图通过基于链接的信誉信号提高网站的可见性。”

MiniFast 被描述为一个功能完备的后门，设计用于长期持久化和远程命令执行。它通过 HTTP 请求与远程服务器通信，获取任务、上传命令执行结果、渗出文件并从服务器下载额外载荷。在进入任务循环之前，该恶意软件还会向操作员发送包含基本系统信息的信标。

该后门支持多种命令，支持：文件操作、目录列表、进程枚举、通过“cmd.exe”执行命令、使用 PID 终止进程、DLL 加载、创建 ZIP 压缩包、通过计划任务持久化，以及通过“runas”命令提升权限。

该后门还支持更新轮询间隔和应用于信标间隔的抖动值，以随机化从服务器检索命令的频率。

Check Point Research 威胁情报部门经理 Sergey Shykevich 在分享给 The Hacker News 的声明中表示：“值得注意的是，该组织的野心远远超出了在中东进行针对性间谍活动。我们发现了强有力的指标表明，Nimbus Manticore 使用 AI 工具更快地编写恶意软件。”

“他们在冲突期间、行动正在积极进行的时候构建并部署了一个全新的后门。我们还追踪到了第三波活动，使用了完全不同的策略：SEO 投毒。”

“他们构建了一个虚假的 SQL Developer 下载页面，并将其推到 Bing 和 DuckDuckGo 的顶部——没有鱼叉式网络钓鱼，没有虚假工作机会，只是等待开发者搜索常用软件。当你将 2 月到 4 月的三波活动放在一起看，他们没有停顿。冲突并没有拖慢他们的脚步，反而加速了他们的行动。”

此次披露恰逢 Palo Alto Networks Unit 42 发布一份关于该威胁行为者使用 MiniUpdate 和更新版本 MiniJunk（称为 MiniJunk V2）针对美国、以色列、阿联酋和中东地区实体的报告。在这个精心设计的间谍计划中，目标包括一家美国石油天然气公司。

研究结果表明，伊朗威胁行为者正在借鉴朝鲜的策略，通过提供诱人的工作机会吸引目标组织的员工，从而渗透感兴趣的组织。

Unit 42 研究人员表示：“自 2026 年 2 月开始的地区冲突以来，该组织增加了行动，在多达五个不同国家的实体内部署了两个家族的 RAT 变体。”

“最近这些活动的一个显著特点是攻击者诱饵的深度个性化。通过利用量身定制的社会工程学战术，包括虚假职位招聘和伪造的视频会议邀请，攻击者引诱受害者启动感染链，从而使他们的组织暴露于进一步的利用。”

此次发展之际，伊朗黑客被怀疑对美国多个州加油站的油罐液位变送器发动了一系列攻击。虽然这些事件没有造成物理损坏或伤害，但引发了人们的担忧：这种访问可能导致天然气泄漏未被检测到，或给关键基础设施带来其他风险。

CNN 援引未具名消息来源报道：“负责攻击的黑客利用了在线且没有密码保护的自动油罐液位 gauge（ATG）系统，在某些情况下允许他们修改油罐的显示读数，但不会修改实际燃油液位。”