MiniFast Backdoor
Le groupe Nimbus Manticore, lié au Corps des gardiens de la révolution islamique et également connu sous les noms de Screening Serpens et UNC1549, a intensifié ses cyberattaques contre des organisations aux États-Unis, en Europe et au Moyen-Orient suite aux frappes conjointes américano-israéliennes contre l'Iran en février 2026. Ce groupe a ciblé des entreprises des secteurs de l'aviation et du logiciel en utilisant des techniques d'intrusion et des méthodes de diffusion de logiciels malveillants de plus en plus sophistiquées.
Des chercheurs en sécurité ont identifié plusieurs changements opérationnels qui distinguent les dernières campagnes des précédentes. Parmi ceux-ci figurent l'introduction d'une nouvelle porte dérobée appelée MiniFast, un recours accru au détournement d'AppDomain et un virage stratégique vers l'empoisonnement SEO pour infecter les victimes via de faux portails de téléchargement de logiciels. Les analystes ont également découvert des indices suggérant que le développement assisté par l'intelligence artificielle pourrait avoir accéléré la création du logiciel malveillant.
Table des matières
Des fausses offres d'emploi à la manipulation des moteurs de recherche
Historiquement, Nimbus Manticore s'est concentré sur les secteurs de la défense, de l'aviation et des télécommunications au moyen de campagnes d'hameçonnage axées sur les carrières, communément appelées opérations « emploi de rêve iranien ». Ces tactiques ressemblent fortement à l'opération Dream Job, une campagne d'ingénierie sociale de longue durée associée à des acteurs malveillants nord-coréens.
Entre février et avril 2026, le groupe a mené trois vagues de campagnes distinctes sans interruption, démontrant un rythme opérationnel agressif durant le conflit régional.
En février 2026, des employés d'entreprises aéronautiques et de logiciels en Arabie saoudite et en Australie ont reçu de fausses offres d'emploi contenant des archives ZIP hébergées sur OnlyOffice. L'ouverture d'un fichier exécutable anodin dans l'archive a déclenché un détournement d'AppDomain, qui a finalement déployé la DLL malveillante MiniJunk.
En mars 2026, l'auteur de la menace a utilisé une chaîne d'infection similaire, intégrant un programme d'installation Zoom piégé. Le logiciel malveillant a probablement été diffusé via de fausses invitations à des réunions et a finalement installé la porte dérobée MiniFast, récemment identifiée.
En avril 2026, Nimbus Manticore a mis en œuvre une stratégie radicalement différente en utilisant des techniques de manipulation du référencement (SEO). Les opérateurs ont créé une fausse page de téléchargement imitant Oracle SQL Developer et ont manipulé le classement des sites sur les moteurs de recherche Bing et DuckDuckGo en enregistrant de nombreux domaines secondaires destinés à accroître la visibilité du site.
Il s'agissait du premier cas connu où le groupe a abandonné le spearphishing traditionnel au profit de la distribution de logiciels malveillants via les moteurs de recherche. Au lieu de cibler directement les victimes par le biais d'e-mails d'appât, les attaquants attendaient que les développeurs et le personnel informatique recherchent en ligne des logiciels couramment utilisés avant de diffuser des installateurs infectés.
MiniFast Backdoor révèle des capacités techniques en expansion
MiniFast, également connu sous le nom de MiniUpdate, représente une avancée majeure dans l'arsenal de logiciels malveillants de Nimbus Manticore. Les chercheurs le décrivent comme une porte dérobée complète conçue pour un accès persistant, l'exécution de commandes à distance et des opérations d'espionnage de longue durée.
Avant d'entrer dans sa boucle de commandes, le logiciel malveillant transmet des informations système de base à son infrastructure de commande et de contrôle via HTTP. Il récupère ensuite en continu des instructions, télécharge les résultats d'exécution, exfiltre des fichiers et télécharge des charges utiles supplémentaires.
La porte dérobée prend en charge un large éventail de fonctionnalités, notamment :
- Manipulation de fichiers et énumération de répertoires
- Liste des processus et arrêt forcé des processus via PID
- Exécution de commandes à distance via cmd.exe
- Chargement de DLL et création d'archive ZIP
- Persistance grâce aux tâches planifiées
- Élévation de privilèges à l'aide de la commande 'runas'
- Intervalles de balise ajustables avec gigue configurable pour randomiser les communications
Les chercheurs ont également observé des signes indiquant que des outils de codage assisté par IA pourraient avoir contribué au développement du logiciel malveillant. Parmi ces signes figurent une gestion des erreurs inhabituellement verbeuse, une logique de programmation défensive excessive, des conventions de nommage répétitives, des messages d'état de type débogage très détaillés et une structure de code modulaire, caractéristiques peu communes pour un logiciel malveillant de cette envergure et de cette complexité.
Les conflits alimentent des cyberopérations plus rapides et plus étendues
Les experts en cybersécurité estiment que ces campagnes témoignent d'une évolution opérationnelle significative pour Nimbus Manticore. Au lieu de ralentir ses activités en période de conflit géopolitique, le groupe a au contraire intensifié et complexifié ses opérations.
Le déploiement rapide d'une porte dérobée nouvellement développée en pleine opération suggère une accélération des cycles de développement des logiciels malveillants, potentiellement facilitée par des outils d'intelligence artificielle. Parallèlement, le passage du phishing ciblé à l'empoisonnement du référencement naturel témoigne d'une ambition plus large, dépassant le cadre des intrusions traditionnelles à visée d'espionnage au Moyen-Orient.
En combinant des opérations de phishing, le détournement d'AppDomain, le développement de logiciels malveillants assisté par l'IA et la manipulation des moteurs de recherche à travers plusieurs vagues de campagnes, Nimbus Manticore a démontré un modèle de menace hautement adaptatif capable d'évoluer rapidement en période d'instabilité géopolitique.
