İran devletine bağlı bilgisayar korsanları, kariyer temalı kimlik avı ve ilk kez arama motoru zehirlenmesi yoluyla yeni bir arka kapı açarak, son ABD-İran askeri çatışması sırasında Amerikan havacılık sektörüne erişimlerini genişletti.
Check Point Research'ün yeni analizine göre, Devrim Muhafızları'na bağlı aktör Nimbus Manticore, Şubat ve Nisan 2026 arasında, 28 Şubat'ta başlatılan ABD askeri harekatı Epic Fury Operasyonu'na denk gelen üç faaliyet dalgasıyla yeniden ortaya çıktı.
UNC1549 olarak da takip edilen grup, geçmişte savunma, havacılık ve telekomünikasyon sektörlerine karşı kariyer temalı kimlik avı gerçekleştirmişti.
Sonuç ve Değerlendirme
Son operasyonlarında ABD, Avrupa ve Orta Doğu'daki havacılık firmalarını ve yazılım sağlayıcılarını taklit ediyordu.
Sistem Güvenliği
SEO Zehirlenmesi Başucu Kitabı'na Katılıyor
En dikkate değer değişim, grubun Oracle'ın SQL Developer veritabanı aracını taklit eden sahte bir indirme sayfası için her zamanki sahte iş cazibesinden vazgeçtiği Nisan ayında gerçekleşti.
Saldırganlar, sahte bir siteye bağlantı veren düzinelerce alan adını kaydetti ve sıralamada yükselmek için sitenin sayfalarını arama anahtar kelimeleriyle doldurdu. Analiz sırasında site, yasal yazılımla ilgili aramalarda Bing ve DuckDuckGo'da üst sıralarda yer alıyordu.
Gelecekte Ne Bekleniyor?
Bu, araştırmacıların, kurbanlara ulaşmak için doğrudan kimlik avı yerine arama motoru zehirlenmesi kullandığını ilk kez gözlemlediği anlamına geliyordu.
Daha önceki dalgalar, sahte toplantı davetiyeleri ve OnlyOffice platformunda barındırılan ZIP arşivleri aracılığıyla dağıtılan truva atı haline getirilmiş Zoom yükleyicisi dahil olmak üzere daha tanıdık yöntemlere dayanıyordu.
Önemli Gelişmeler
Bu tehdit aktörü hakkında daha fazlasını okuyun: İran Hacking Grubu Nimbus Manticore Avrupa Hedeflemesini Genişletiyor
Teknik Analiz
Kampanya boyunca aktör, kötü amaçlı bir DLL dosyasını güvenilir bir .NET uygulamasına, yanına değiştirilmiş bir yapılandırma dosyası yerleştirerek yükleyen bir teknik olan AppDomain ele geçirme tekniğinden yararlandı.
Yeni Takımlarda Yapay Zeka Parmak İzleri
Kampanya aynı zamanda Check Point'in MiniFast adını verdiği ve grubun 2025 yılına kadar kullandığı MiniJunk ailesini kullanımdan kaldıran, daha önce belgelenmemiş bir arka kapıyı da tanıttı.
Uzmanların Görüşleri
MiniFast, tam özellikli bir implant gibi çalışan, JSON üzerinden komuta ve kontrol (C2) sunucusuyla iletişim kurarken trafiğini bir Chrome tarayıcısı gibi gizleyen 64 bitlik bir Windows DLL'sidir. Opcode odaklı komut seti, kabuk yürütmeyi, dosya aktarımını, süreç kontrolünü ve zamanlanmış görev kalıcılığını kapsar.
Check Point, hem yükleyicilerin hem de arka kapının yapay zeka destekli geliştirmenin ayırt edici özelliklerini taşıdığını değerlendirdi; bu, önemsiz işlevler, ayrıntılı ve tekrarlayan adlandırma kalıpları ve kodun içine dağılmış hata ayıklama tarzı durum dizeleri etrafında aşırı hata işlemeye işaret etti.
Araştırmacılar bunun muhtemelen grubun savaş zamanı baskısı altında bile hızlı takım geliştirmeyi ve yüksek operasyonel tempoyu sürdürmesine yardımcı olduğunu söyledi.