MiniFast: Irans Hacker setzen auf KI und SEO-Manipulation : Neue Angriffswellen von Nimbus Manticore treffen Aviation- und Softwarebranche
Mitten im geopolitischen Konflikt zwischen Iran, Israel und den USA intensiviert die irani-sche Hackergruppe Nimbus Manticore ihre Cyberoperationen. Neue Malware-Familien, KI-gestützte Entwicklung und erstmals groß angelegte SEO-Manipulation markieren eine deut-liche Ausweitung der Taktiken. Besonders im Fokus stehen Unternehmen aus Luftfahrt, Software und kritischer Infrastruktur.
Die mutmaßlich mit den iranischen Islamic Revolutionary Guard Corps (IRGC) verbundene Gruppe Nimbus Manticore, auch als Screening Serpens oder UNC1549 bekannt, hat laut Analysen von Check Point Research und Palo Alto Networks Unit 42 mehrere neue Angriffskampagnen gestartet. Ziel sind Organisationen in den USA, Europa, Australien sowie im Nahen Osten.
Bekannt wurde die Gruppe durch sogenannte „Dream-Job“-Kampagnen: Mitarbeiter aus sensiblen Branchen erhalten täuschend echte Karriereangebote, über die Schadsoftware eingeschleust wird. Die Vorgehensweise erinnert stark an die nordkoreanische Operation „Dream Job“.
Neu ist vor allem die eingesetzte Malware „MiniFast“, die nach Einschätzung von Check Point offenbar teilweise mit Unterstützung künstlicher Intelligenz entwickelt wurde. Hinweise darauf seien ungewöhnlich ausführliche Fehlerbehandlung, defensive Programmierlogik, stark modulare Code-Strukturen und auffallend beschreibende Funktionsnamen.
Drei Angriffswellen in kurzer Folge
Die Kampagnen liefen laut den Forschern nahezu ohne Unterbrechung zwischen Februar und April 2026.
Im Februar griff Nimbus Manticore Beschäftigte aus der Luftfahrt- und Softwarebranche in Saudi-Arabien und Australien mit gefälschten Stellenangeboten an. Die Opfer luden ZIP-Archive herunter, die über OnlyOffice bereitgestellt wurden. Beim Start eines scheinbar harmlosen Programms wurde per sogenanntem AppDomain-Hijacking die Malware „MiniJunk“ nachgeladen.
Bereits im März folgte die nächste Welle. Diesmal setzten die Angreifer zusätzlich manipulierte Zoom-Installer ein. Über gefälschte Meeting-Einladungen gelangte die neue Backdoor MiniFast auf die Systeme der Opfer.
Im April änderte die Gruppe erneut ihre Strategie. Statt klassischer Phishing-Mails nutzten die Angreifer erstmals SEO-Poisoning. Dabei registrierten sie zahlreiche Domains, die auf eine gefälschte Download-Seite für den Oracle SQL Developer verwiesen. Nutzer, die über Suchmaschinen wie Bing oder DuckDuckGo nach der Software suchten, landeten auf der manipulierten Webseite und installierten unwissentlich die Schadsoftware.
Check Point beschreibt diesen Methodenwechsel als bemerkenswert: „Kein Spear-Phishing, kein gefälschtes Jobangebot – die Angreifer warteten einfach darauf, dass Entwickler nach gängiger Software suchen.“
Leistungsfähige Backdoor mit Fernsteuerung
MiniFast ist als vollwertige Backdoor für langfristige Spionageoperationen ausgelegt. Die Malware kommuniziert über HTTP mit einem Kontrollserver, sammelt Systeminformationen und empfängt dort Befehle. Unterstützt werden unter anderem:
- Dateioperationen und Verzeichnislisten
- Prozessanalyse und Prozessbeendigung
- Befehlsausführung über cmd.exe
- Nachladen zusätzlicher DLL-Dateien
- Erstellung von ZIP-Archiven
- Persistenz über geplante Tasks
- Privilegienerweiterung per „runas“
Zusätzlich kann die Malware Kommunikationsintervalle dynamisch verändern, um ihre Aktivitäten schwerer erkennbar zu machen.
Laut Sergey Shykevich von Check Point zeigt die Kampagne eine deutliche operative Beschleunigung: „Der Konflikt hat die Aktivitäten nicht verlangsamt – er hat sie sogar beschleunigt.“ Besonders auffällig sei gewesen, dass die Gruppe „mitten im laufenden Konflikt eine komplett neue Backdoor entwickelt und eingesetzt“ habe.
MiniJunk V2 und Angriffe auf kritische Infrastruktur
Parallel berichtete Palo Alto Networks Unit 42 über weitere Aktivitäten der Gruppe. Dabei kamen neben MiniFast auch aktualisierte Varianten von MiniJunk V2 zum Einsatz. Zu den Opfern gehörte unter anderem ein US-Unternehmen aus der Öl- und Gasindustrie.
Die Angreifer setzen dabei zunehmend auf personalisierte Social-Engineering-Techniken. Gefälschte Stellenanzeigen, individuell zugeschnittene Kontaktaufnahmen und manipulierte Video-Meeting-Einladungen sollen Mitarbeiter dazu bringen, die Infektionskette selbst auszulösen.
Zeitgleich mehrten sich Berichte über mutmaßlich iranische Cyberangriffe auf automatische Tankmesssysteme an US-Tankstellen. Laut CNN waren sogenannte Automatic Tank Gauge-Systeme (ATG) teilweise ungeschützt direkt aus dem Internet erreichbar. Die Angreifer konnten zwar keine Treibstoffmengen verändern, jedoch Anzeigen manipulieren. Sicherheitsbehörden befürchten dennoch Risiken für kritische Infrastruktur, etwa unerkannte Lecks oder fehlerhafte Warnmeldungen.