İran devletiyle bağlantılı bilgisayar korsanları, kariyer temalı oltalama ve ilk kez kullandıkları arama motoru zehirleme (SEO poisoning) yöntemlerini birleştirerek ABD havacılık sektörüne yönelik yeni bir arka kapı saldırısı başlattı. Check Point Research tarafından yapılan analize göre, İran Devrim Muhafızları (IRGC) bağlantılı Nimbus Manticore grubu, Şubat ve Nisan 2026 arasında üç dalga halinde faaliyet gösterdi. Bu dönem, ABD'nin 28 Şubat'ta başlattığı Epic Fury Operasyonu ile aynı zamana denk geldi. Daha önce UNC1549 olarak da izlenen grup, geçmişte savunma, havacılık ve telekomünikasyon sektörlerine yönelik kariyer temalı oltalama saldırıları düzenlemişti. Son operasyonlarında ise ABD, Avrupa ve Orta Doğu'daki havacılık firmalarını ve yazılım sağlayıcılarını hedef aldı.
Saldırı yöntemlerindeki en dikkat çekici değişiklik Nisan ayında yaşandı. Grup, alışılagelmiş sahte iş ilanları yerine Oracle'ın SQL Developer veritabanı aracını taklit eden bir indirme sayfası oluşturdu. Saldırganlar, sahte siteye yönlendiren düzinelerce alan adı kaydettirdi ve sayfalarını arama motoru sıralamalarında üst sıralara çıkmak için anahtar kelimelerle doldurdu. Analiz sırasında, bu sahte site Bing ve DuckDuckGo'da meşru yazılımla ilgili aramalarda üst sıralarda yer alıyordu. Araştırmacılar, grubun ilk kez doğrudan oltalama yerine arama motoru zehirleme yöntemini kullandığını gözlemledi. Önceki dalgalarda ise sahte toplantı davetiyeleri aracılığıyla dağıtılan truvalı Zoom yükleyicisi ve OnlyOffice platformunda barındırılan ZIP arşivleri gibi daha tanıdık yöntemler kullanılmıştı.
Kampanya boyunca aktör, AppDomain hijacking adı verilen bir teknik kullandı. Bu yöntemde, güvenilir bir .NET uygulamasının yanına kurcalanmış bir yapılandırma dosyası yerleştirilerek kötü amaçlı bir DLL yükleniyor. Ayrıca kampanya, daha önce belgelenmemiş ve Check Point tarafından MiniFast adı verilen yeni bir arka kapıyı da beraberinde getirdi. Bu arka kapı, grubun 2025 yılı boyunca kullandığı MiniJunk ailesinin yerini aldı. MiniFast, 64-bit Windows DLL'si olarak çalışan tam donanımlı bir implant olup, komuta ve kontrol (C2) sunucusuyla JSON üzerinden iletişim kurarken trafiğini Chrome tarayıcı gibi gizliyor. Opcode tabanlı komut seti, kabuk yürütme, dosya transferi, süreç kontrolü ve zamanlanmış görev kalıcılığı gibi işlevleri kapsıyor.
Check Point, hem yükleyicilerin hem de arka kapının yapay zeka destekli geliştirme izleri taşıdığını değerlendiriyor. Bu izler arasında önemsiz işlevlerde aşırı hata yönetimi, ayrıntılı ve tekrarlayan adlandırma kalıpları ve kod içine serpiştirilmiş hata ayıklama tarzı durum dizeleri yer alıyor. Araştırmacılar, yapay zeka kullanımının grubun savaş zamanı baskısı altında bile hızlı araç geliştirme ve yüksek operasyonel tempo sürdürmesine yardımcı olduğunu belirtti.