Nach Darstellung von Check Point hat sich das Vorgehen der Gruppe zuletzt deutlich verändert. Im Februar 2026 nutzten die Angreifer das sogenannte AppDomain-Hijacking, um die Backdoor MiniJunk auszuliefern. Im März folgte der Einsatz von MiniFast, im April setzte die Gruppe erstmals auf SEO-Vergiftung, um eine manipulierte Version von Oracles Software SQL Developer zu verbreiten.
In der ersten, noch vor Beginn des Konflikts beobachteten Kampagne wurden Beschäftigte aus der Software- und Luftfahrtbranche in Saudi-Arabien und Australien mit vorgetäuschten Karriereangeboten angesprochen. Sie wurden dazu verleitet, ein über OnlyOffice gehostetes ZIP-Archiv herunterzuladen; der Start einer harmlos wirkenden ausführbaren Datei darin löste über AppDomain-Hijacking eine bösartige MiniJunk-DLL aus.
Die Kampagne im März 2026 verlief weitgehend nach demselben Muster, allerdings kam zusätzlich ein trojanisierter Zoom-Installer zum Einsatz, um über AppDomain-Hijacking MiniFast zu installieren. Vermutlich gehörte dies zu einer Phishing-Kampagne mit gefälschten Besprechungseinladungen.
Mehrere Hinweise deuten laut Check Point darauf hin, dass MiniFast mit KI-Unterstützung entwickelt wurde: übermäßige Fehlerbehandlung und defensive Programmierlogik, sich wiederholende, auffällig ausführliche Benennungsmuster für Funktionen und Methoden, zahlreiche detaillierte Fehlermeldungen und debug-artige Statusmeldungen sowie ein modularer Aufbau trotz der insgesamt einfachen Struktur der Schadsoftware.
Im selben Monat beobachtete Check Point zudem eine gefälschte Website, die eine Download-Seite für SQL Developer nachahmte. Besucher, die über SEO-Vergiftung dorthin gelangten, luden einen präparierten Installer herunter, der MiniFast ausliefert. Dazu registrierte die Gruppe nach Angaben des Unternehmens Dutzende Domains, die auf die betrügerische Adresse getsqldeveloper[.]com verweisen, um deren Sichtbarkeit über verlinkungsbasierte Reputationssignale zu erhöhen. Es war das erste Mal, dass die Gruppe diese Methode zur Verbreitung von Schadsoftware nutzte.
MiniFast ist als vollwertige Backdoor für dauerhafte Persistenz und Fernsteuerung ausgelegt. Sie kommuniziert über HTTP-Anfragen mit einem Server, um Aufgaben abzurufen, Ergebnisse hochzuladen, Dateien zu exfiltrieren und weitere Schadkomponenten nachzuladen. Zuvor übermittelt sie grundlegende Systeminformationen an den Betreiber. Die unterstützten Befehle reichen von Dateioperationen, Verzeichnisauflistungen und Prozessauflistungen über die Befehlsausführung per „cmd.exe", das Beenden von Prozessen anhand ihrer PID, das Laden von DLLs, das Erstellen von ZIP-Archiven, Persistenz über geplante Aufgaben bis zur Rechteausweitung über den Befehl „runas". Zudem lassen sich Abrufintervall und ein Zufallswert (Jitter) anpassen, um die Häufigkeit der Befehlsabrufe zu variieren.
„Was heraussticht, ist, dass die Ambitionen dieser Gruppe weit über gezielte Spionage im Nahen Osten hinausgingen", erklärte Sergey Shykevich, Manager der Threat-Intelligence-Gruppe bei Check Point Research. Man habe deutliche Hinweise gefunden, dass Nimbus Manticore KI-Werkzeuge nutzte, um schneller Schadsoftware zu schreiben. Die Gruppe habe mitten im Konflikt eine völlig neue Backdoor entwickelt und eingesetzt; eine dritte Angriffswelle habe mit SEO-Vergiftung auf ein gänzlich anderes Vorgehen gesetzt. Über die gefälschte SQL-Developer-Seite habe man die Adresse ohne Spear-Phishing und ohne falsches Jobangebot an die Spitze der Suchergebnisse von Bing und DuckDuckGo gebracht. Von Februar bis April habe es keine Pause gegeben – der Konflikt habe die Gruppe nicht gebremst, sondern beschleunigt.
Parallel berichtet Unit 42 über Angriffe der Gruppe auf Ziele in den USA, Israel, den Vereinigten Arabischen Emiraten und dem Nahen Osten, darunter ein US-amerikanisches Öl- und Gasunternehmen. Seit Beginn des regionalen Konflikts im Februar 2026 habe die Gruppe ihre Aktivitäten ausgeweitet und zwei Familien von RAT-Varianten in bis zu fünf Ländern eingesetzt. Kennzeichnend sei die starke Personalisierung der Köder mit gefälschten Stellenausschreibungen und gefälschten Einladungen zu Videokonferenzen.
Daneben werden iranische Hacker verdächtigt, Tankfüllstandsanzeigen an Tankstellen in mehreren US-Bundesstaaten angegriffen zu haben. Physische Schäden entstanden dabei nicht; die Vorfälle weckten jedoch Sorgen, dass solche Zugriffe etwa unbemerkte Lecks ermöglichen könnten. Laut einem CNN-Bericht, der sich auf nicht genannte Quellen stützt, nutzten die Angreifer ungeschützte, ohne Passwort erreichbare automatische Tankfüllstandssysteme (ATG) aus und konnten teils die Anzeigewerte manipulieren – nicht jedoch die tatsächlichen Füllstände.
