Nhóm tin tặc do nhà nước Iran bảo trợ, Nimbus Manticore, đã tăng cường các chiến dịch tấn công mạng, sử dụng các kỹ thuật mới như AppDomain hijacking, SEO poisoning, và thậm chí có dấu hiệu phát triển mã độc bằng AI để triển khai backdoor MiniFast và MiniJunk V2.
Tin tặc Iran triển khai mã độc MiniFast và MiniJunk V2 qua Phishing và SEO Poisoning
Nhóm tin tặc do nhà nước Iran bảo trợ, được biết đến với tên Nimbus Manticore (hay Screening Serpens và UNC1549), đã bị cáo buộc thực hiện một chiến dịch tấn công mới. Chiến dịch này nhắm mục tiêu vào các tổ chức trong lĩnh vực hàng không và phần mềm tại Mỹ, Châu Âu và Trung Đông, sử dụng các mồi nhử giả mạo sau chiến dịch quân sự chung giữa Mỹ và Israel vào cuối tháng 2 năm 2026.
Theo phân tích của Check Point, hoạt động này không chỉ áp dụng các kỹ thuật chưa từng được ghi nhận và khả năng nâng cao, mà còn đặc trưng bởi việc sử dụng một backdoor mới có tên mã MiniFast (hay MiniUpdate). Đáng chú ý, backdoor này dường như được phát triển với sự hỗ trợ của trí tuệ nhân tạo (AI).
Nimbus Manticore, có liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), nổi tiếng với việc nhắm mục tiêu vào các lĩnh vực quốc phòng, hàng không và viễn thông thông qua các chiêu lừa đảo phishing liên quan đến cơ hội việc làm. Các chiến dịch này còn được gọi là “Iranian Dream Job”, do có những điểm tương đồng về chiến thuật với “Operation Dream Job” do tin tặc Triều Tiên thực hiện.
Các chuỗi tấn công gần đây liên quan đến nhóm tin tặc này đã cho thấy sự thay đổi trong phương thức hoạt động. Cụ thể, vào tháng 2 năm 2026, chúng sử dụng kỹ thuật AppDomain hijacking để phát tán MiniJunk, sau đó là việc triển khai backdoor MiniFast vào tháng 3 và dựa vào SEO poisoning để phân phối phiên bản trojan hóa của phần mềm SQL Developer của Oracle vào tháng 4.
Trong chiến dịch đầu tiên được quan sát trước khi xung đột bắt đầu, nhân viên trong các lĩnh vực phần mềm và hàng không ở Ả Rập Xê Út và Úc đã bị nhắm mục tiêu bằng các cơ hội việc làm giả mạo, lừa họ tải xuống một tệp lưu trữ ZIP được lưu trữ trên OnlyOffice. Việc chạy một tệp thực thi tưởng chừng vô hại trong tệp ZIP đã lợi dụng kỹ thuật AppDomain hijacking để khởi chạy một DLL MiniJunk độc hại.
Chiến dịch tháng 3 năm 2026 cũng theo một phương pháp tương tự, nhưng lần này nhóm tin tặc còn sử dụng một trình cài đặt Zoom đã bị trojan hóa như một phần của chuỗi tấn công để khởi chạy tệp nhị phân, sau đó lợi dụng AppDomain hijacking để triển khai MiniFast. Hoạt động này được nghi ngờ là một phần của chiến dịch phishing sử dụng lời mời họp giả mạo.
Có những dấu hiệu cho thấy Nimbus Manticore đã sử dụng AI để hỗ trợ phát triển MiniFast. Điều này bao gồm việc xử lý lỗi quá mức và logic lập trình phòng thủ, các mẫu đặt tên hàm và phương thức lặp lại với các định danh mô tả hoặc dài dòng, một số chuỗi báo cáo lỗi chi tiết và thông báo trạng thái kiểu debug, cùng với tổ chức mã mô-đun mặc dù mã độc có vẻ đơn giản.
Check Point cũng ghi nhận vào tháng trước một trang web giả mạo trang tải xuống SQL Developer, lừa những người truy cập trang này thông qua SEO poisoning để tải xuống một trình cài đặt đã bị vũ khí hóa, phát tán MiniFast. Sự phát triển này đánh dấu lần đầu tiên nhóm tin tặc sử dụng phương pháp này để phân phối malware.
Công ty cho biết: “Phương pháp phân phối malware này khác với các chuỗi lây nhiễm thông thường của Nimbus Manticore, vốn thường dựa vào các chiêu lừa đảo phishing liên quan đến việc làm. Trong chiến dịch này, tin tặc lạm dụng các kỹ thuật tối ưu hóa công cụ tìm kiếm bằng cách đăng ký hàng chục tên miền liên kết đến tên miền giả mạo getsqldeveloper[.]com. Điều này có thể là một nỗ lực để tăng khả năng hiển thị của trang web thông qua các tín hiệu uy tín dựa trên liên kết.”
MiniFast được mô tả là một backdoor đầy đủ tính năng được thiết kế để duy trì quyền truy cập lâu dài và thực thi lệnh từ xa. Nó giao tiếp với một server từ xa qua các yêu cầu HTTP để lấy tác vụ, tải lên kết quả thực thi lệnh, trích xuất tệp và tải xuống các payload bổ sung từ server. Trước khi vào vòng lặp tác vụ, malware cũng gửi thông tin hệ thống cơ bản đến người điều hành.
Các lệnh được backdoor hỗ trợ rất đa dạng, cho phép thực hiện các thao tác tệp, liệt kê thư mục, liệt kê tiến trình, thực thi lệnh qua “cmd.exe”, chấm dứt tiến trình bằng PID của nó, tải DLL, tạo tệp lưu trữ ZIP, duy trì quyền truy cập qua các tác vụ đã lên lịch và leo thang đặc quyền qua lệnh “runas”.
Backdoor cũng hỗ trợ khả năng cập nhật khoảng thời gian thăm dò và giá trị jitter được áp dụng cho các khoảng thời gian beacon để ngẫu nhiên hóa tần suất truy xuất lệnh từ server.
Sergey Shykevich, quản lý nhóm tình báo mối đe dọa tại Check Point Research, chia sẻ: “Điều nổi bật là tham vọng của nhóm này vượt xa hoạt động gián điệp có mục tiêu ở Trung Đông. Chúng tôi tìm thấy những chỉ số mạnh mẽ cho thấy Nimbus Manticore đã sử dụng các công cụ AI để viết malware nhanh hơn.”
“Họ đã xây dựng và triển khai một backdoor hoàn toàn mới giữa lúc xung đột đang diễn ra. Chúng tôi cũng theo dõi một làn sóng chiến dịch thứ ba sử dụng một chiến thuật hoàn toàn khác: SEO poisoning.”
“Họ đã xây dựng một trang tải xuống SQL Developer giả mạo và đẩy nó lên đầu Bing và DuckDuckGo – không có spearphishing, không có lời mời làm việc giả mạo, chỉ chờ một nhà phát triển tìm kiếm phần mềm thông thường. Và khi bạn ghép nối cả ba làn sóng lại với nhau, từ tháng 2 đến tháng 4, không có sự gián đoạn nào. Xung đột không làm chậm họ lại; thực tế nó còn thúc đẩy họ nhanh hơn.”
Thông tin này trùng khớp với báo cáo của Palo Alto Networks Unit 42 về việc nhóm tin tặc này nhắm mục tiêu vào các thực thể ở Mỹ, Israel, Các Tiểu vương quốc Ả Rập Thống nhất và Trung Đông bằng MiniUpdate và phiên bản cập nhật của MiniJunk có tên MiniJunk V2. Trong số những mục tiêu của kế hoạch gián điệp phức tạp này có một công ty dầu khí của Mỹ.
Những phát hiện này cho thấy các nhóm tin tặc Iran đang học hỏi từ chiến thuật của Triều Tiên để xâm nhập các tổ chức quan trọng bằng cách nhắm vào nhân viên của họ với các cơ hội việc làm hấp dẫn.
Các nhà nghiên cứu của Unit 42 cho biết: “Nhóm này đã tăng cường hoạt động kể từ cuộc xung đột khu vực bắt đầu vào tháng 2 năm 2026, triển khai hai họ biến thể RAT trên các thực thể ở tối đa năm quốc gia khác nhau.”
“Một đặc điểm nổi bật của các chiến dịch gần đây là sự cá nhân hóa sâu sắc trong các mồi nhử của kẻ tấn công. Bằng cách tận dụng các chiến thuật kỹ thuật xã hội được tùy chỉnh, bao gồm các yêu cầu tuyển dụng giả mạo và lời mời họp hội nghị video giả mạo, kẻ tấn công lừa nạn nhân khởi động chuỗi lây nhiễm, từ đó khiến tổ chức của họ dễ bị khai thác thêm.”
Sự phát triển này cũng diễn ra khi tin tặc Iran bị nghi ngờ đã thực hiện một loạt các cuộc tấn công nhắm vào các thiết bị đọc bồn chứa tại các trạm xăng trên nhiều bang của Mỹ. Mặc dù các sự cố không gây ra thiệt hại vật chất, nhưng chúng đã làm dấy lên lo ngại rằng quyền truy cập như vậy có thể khiến rò rỉ khí gas không bị phát hiện hoặc tạo ra các rủi ro khác cho cơ sở hạ tầng quan trọng.
Nguồn tham khảo: The Hacker News
