Nhóm tin tặc Iran sử dụng AI để phát triển mã độc MiniFast và MiniJunk V2

Nhóm tin tặc Nimbus Manticore từ Iran đang đẩy mạnh các chiến dịch tấn công mạng nhắm vào lĩnh vực hàng không và phần mềm thông qua kỹ thuật phishing và SEO poisoning, đáng chú ý là việc sử dụng AI để tạo ra backdoor MiniFast.

Nhóm tin tặc Nimbus Manticore (còn được biết đến với tên gọi Screening Serpens hoặc UNC1549) – một tổ chức được cho là có liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) – vừa bị phát hiện triển khai một chiến dịch tấn công mạng quy mô lớn nhắm vào các tổ chức trong lĩnh vực hàng không và phần mềm tại Mỹ, châu Âu và Trung Đông.

Theo báo cáo từ Check Point, điểm đáng chú ý nhất trong đợt tấn công này là sự xuất hiện của backdoor mới có tên MiniFast (hay MiniUpdate). Các chuyên gia bảo mật nhận định rằng mã độc này có khả năng cao được phát triển với sự hỗ trợ của trí tuệ nhân tạo (AI), dựa trên cấu trúc mã nguồn có tính tổ chức cao, các thông báo lỗi chi tiết và logic lập trình phòng thủ phức tạp.

Chiến thuật tấn công đa dạng

Nimbus Manticore đã thay đổi đáng kể phương thức hoạt động (tradecraft) trong những tháng gần đây:

  • Phishing theo chủ đề việc làm: Tiếp tục sử dụng các mồi nhử tuyển dụng giả mạo để lừa nạn nhân tải về các tệp tin độc hại.
  • AppDomain Hijacking: Kỹ thuật này được sử dụng để kích hoạt tệp DLL độc hại (MiniJunk) thông qua một tệp thực thi hợp lệ.
  • SEO Poisoning: Đây là lần đầu tiên nhóm này sử dụng kỹ thuật thao túng kết quả tìm kiếm. Họ tạo ra các trang web giả mạo phần mềm Oracle SQL Developer, lừa người dùng tải về trình cài đặt chứa mã độc.

Các chiến dịch này diễn ra liên tục từ tháng 2 đến tháng 4 năm 2026, cho thấy cường độ hoạt động của nhóm không hề suy giảm bất chấp các biến động địa chính trị.

Đặc điểm của MiniFast

MiniFast được thiết kế như một backdoor toàn diện, cho phép kẻ tấn công duy trì sự hiện diện lâu dài trong hệ thống nạn nhân. Các tính năng chính bao gồm:

  • Giao tiếp với server điều khiển qua HTTP để nhận lệnh và gửi dữ liệu đánh cắp.
  • Thực thi lệnh từ xa, liệt kê danh sách tiến trình, quản lý tệp tin và thư mục.
  • Khả năng leo thang đặc quyền thông qua lệnh “runas”.
  • Cơ chế tùy chỉnh tần suất beaconing để tránh bị phát hiện bởi các hệ thống giám sát lưu lượng mạng.

Bên cạnh đó, Palo Alto Networks Unit 42 cũng ghi nhận sự xuất hiện của MiniJunk V2 trong các chiến dịch tương tự. Việc kết hợp giữa các kỹ thuật social engineering tinh vi và công cụ tự động hóa cho thấy sự chuyên nghiệp hóa ngày càng cao của nhóm tin tặc này.

Các chuyên gia bảo mật khuyến cáo các tổ chức cần nâng cao cảnh giác với các tệp tin đính kèm từ email lạ, đồng thời kiểm tra kỹ nguồn gốc khi tải phần mềm từ internet để tránh rơi vào bẫy SEO poisoning.

Nguồn tham khảo: The Hacker News

Nguyen Hung

Nguyen Hung

Keep in touch with our news & offers

Subscribe to Our Newsletter

What to read next...

Comments

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *