Puerta trasera MiniFast
El grupo de ciberdelincuentes patrocinado por el Estado iraní, conocido como Nimbus Manticore, vinculado al Cuerpo de la Guardia Revolucionaria Islámica, también conocido como Screening Serpens y UNC1549, ha intensificado sus campañas cibernéticas contra organizaciones en Estados Unidos, Europa y Oriente Medio tras los ataques conjuntos estadounidenses e israelíes contra Irán en febrero de 2026. El grupo atacó a empresas de los sectores de la aviación y el software utilizando técnicas de intrusión y métodos de distribución de malware cada vez más sofisticados.
Investigadores de seguridad identificaron varios cambios operativos que distinguen las campañas más recientes de las anteriores. Entre ellos se incluyen la introducción de una nueva puerta trasera llamada MiniFast, un mayor uso del secuestro de AppDomain y un giro estratégico hacia el envenenamiento SEO para infectar a las víctimas a través de portales falsos de descarga de software. Los analistas también descubrieron indicios que sugieren que el desarrollo asistido por inteligencia artificial podría haber acelerado la creación del malware.
Tabla de contenido
Desde ofertas de trabajo falsas hasta manipulación de motores de búsqueda.
Históricamente, Nimbus Manticore se ha centrado en objetivos de defensa, aviación y telecomunicaciones mediante campañas de phishing con temática laboral, conocidas como operaciones «El trabajo soñado iraní». Estas tácticas se asemejan mucho a la Operación Trabajo Soñado, una campaña de ingeniería social de larga duración asociada con actores maliciosos norcoreanos.
Entre febrero y abril de 2026, el grupo ejecutó tres oleadas de campaña distintas sin interrupción, demostrando un ritmo operativo agresivo durante el conflicto regional.
En febrero de 2026, empleados de empresas de aviación y software en Arabia Saudita y Australia recibieron ofertas de trabajo fraudulentas que contenían archivos ZIP alojados en OnlyOffice. Al abrir un archivo ejecutable inofensivo dentro del archivo comprimido, se produjo un secuestro de AppDomain, que finalmente desplegó la DLL de malware MiniJunk.
En marzo de 2026, el atacante adoptó una cadena de infección similar, pero incorporó un instalador de Zoom troyanizado al proceso. Es probable que el malware se distribuyera mediante invitaciones falsas a reuniones y, finalmente, instalara la puerta trasera MiniFast, recientemente identificada.
En abril de 2026, Nimbus Manticore introdujo una estrategia completamente diferente mediante técnicas de manipulación de SEO. Los operadores crearon una página de descarga falsa que suplantaba la identidad de Oracle SQL Developer y manipularon el posicionamiento en los motores de búsqueda Bing y DuckDuckGo registrando numerosos dominios de apoyo diseñados para aumentar la visibilidad del sitio.
Este fue el primer caso conocido en el que el grupo abandonó el spearphishing tradicional en favor de la distribución de malware mediante motores de búsqueda. En lugar de atacar directamente a las víctimas con correos electrónicos engañosos, los atacantes esperaban a que los desarrolladores y el personal de TI buscaran software de uso común en línea antes de distribuir instaladores infectados.
La puerta trasera MiniFast revela la expansión de sus capacidades técnicas.
MiniFast, también conocido como MiniUpdate, representa un avance significativo en el arsenal de malware de Nimbus Manticore. Los investigadores lo describen como una puerta trasera con todas las funciones, diseñada para el acceso persistente, la ejecución remota de comandos y operaciones de espionaje a largo plazo.
Antes de entrar en su bucle de comandos, el malware transmite información básica del sistema a su infraestructura de comando y control a través de HTTP. A continuación, recupera continuamente instrucciones, sube los resultados de la ejecución, extrae archivos y descarga cargas útiles adicionales.
La puerta trasera admite una amplia gama de funcionalidades, entre las que se incluyen:
- Manipulación de archivos y enumeración de directorios
- Listado de procesos y terminación forzada de procesos mediante PID
- Ejecución remota de comandos a través de cmd.exe
- Carga de DLL y creación de archivos ZIP
- Persistencia a través de tareas programadas
- Escalada de privilegios mediante el comando 'runas'.
- Intervalos de baliza ajustables con fluctuación configurable para aleatorizar las comunicaciones.
Los investigadores también observaron indicios de que las herramientas de codificación asistidas por IA podrían haber contribuido al desarrollo del malware. Entre las evidencias se incluyen un manejo de errores inusualmente detallado, una lógica de programación defensiva excesiva, convenciones de nomenclatura repetitivas, mensajes de estado de depuración muy detallados y una estructura de código modular poco común para un malware de esta magnitud y complejidad.
El conflicto impulsó operaciones cibernéticas más rápidas y de mayor alcance.
Los expertos en ciberseguridad creen que estas campañas demuestran una importante evolución operativa de Nimbus Manticore. En lugar de reducir su ritmo durante los conflictos geopolíticos activos, el grupo incrementó tanto la velocidad como la sofisticación de sus actividades.
El rápido despliegue de una puerta trasera de reciente desarrollo en medio de operaciones en curso sugiere ciclos de desarrollo de malware acelerados, posiblemente respaldados por herramientas de inteligencia artificial. Al mismo tiempo, la transición del phishing dirigido al envenenamiento de SEO refleja una ambición más amplia que va más allá de las intrusiones tradicionales centradas en el espionaje en Oriente Medio.
Al combinar operaciones de phishing, secuestro de AppDomain, desarrollo de malware asistido por IA y manipulación de motores de búsqueda en múltiples oleadas de campañas, Nimbus Manticore demostró un modelo de amenaza altamente adaptable, capaz de evolucionar rápidamente durante períodos de inestabilidad geopolítica.
