MalwarePhishingHackerangriffe

Iranische Hacker nutzen KI-entwickelte Malware MiniFast für gezielte Anschläge

Von CyberDeutsch Redaktion
Iranische Hacker nutzen KI-entwickelte Malware MiniFast für gezielte Anschläge
Zusammenfassung

Der iranische staatlich unterstützte Hackergruppe Nimbus Manticore, auch bekannt als Screening Serpens und UNC1549, führt eine neue Kampagne durch, die Organisationen in der Luftfahrt- und Softwareindustrie in den USA, Europa und dem Nahen Osten ins Visier nimmt. Die Anschläge folgen auf die gemeinsame amerikanisch-israelische Militäraktion gegen den Iran im Februar 2026 und zeichnen sich durch den Einsatz bislang unbekannter Techniken aus. Im Mittelpunkt steht ein neuer Backdoor namens MiniFast, der möglicherweise mit KI-Unterstützung entwickelt wurde. Die der Islamischen Revolutionsgarde unterstehende Gruppe ist bekannt für ihre Phishing-Kampagnen mit gefälschten Jobangeboten, nutzt aber zunehmend auch SEO-Poisoning und trojanisierte Software-Installer zur Malware-Verbreitung. Deutsche Unternehmen und Behörden könnten besonders in den Sektoren Luftfahrt, Verteidigung und Telekommunikation gefährdet sein. Die Kampagnen zeigen eine deutliche Eskalation operativer Aktivitäten und sophistizierte Social-Engineering-Techniken, die auf eine strategische Intensivierung iranischer Cyberangriffskapazitäten hindeuten. Beschäftigte in technischen und luftfahrtbezogenen Positionen sollten erhöhte Wachsamkeit gegenüber verdächtigen Jobangeboten und Software-Downloads bewahren.

Die Bedrohung durch Nimbus Manticore ist nicht neu, hat sich aber grundlegend gewandelt. Die Gruppe ist bekannt für ihre Kampagne “Iranian Dream Job” – ein Konzept, das den nordkoreanischen Operation Dream Job nachahmt und Karriere-Köder nutzt, um Ziele zu täuschen. Doch die jüngsten Aktivitäten zeigen eine Eskalation mit drei unterschiedlichen Angriffsmustern zwischen Februar und April 2026.

Im ersten Anschlag zielten die Hacker auf Mitarbeiter in der Software- und Luftfahrtindustrie in Saudi-Arabien und Australien ab. Sie lockten sie mit gefälschten Jobangeboten, die auf OnlyOffice gehostet waren. Das entscheidend neue Element: AppDomain Hijacking, eine Technik zur Codeinjizierung, die die Malware MiniJunk aktivierte. Im März folgte eine ähnliche Kampagne – diesmal mit trojanisiertem Zoom-Installer und gefälschten Meeting-Einladungen zur Bereitstellung der neuen Backdoor MiniFast.

Das Besondere an MiniFast: Die Sicherheitsfirma Check Point vermutet KI-assistierte Entwicklung hinter der Malware. Merkmale wie übermäßiges Error-Handling, repetitive Funktionsnamen und detaillierte Debug-Meldungen deuten auf maschinell generierte oder unterstützte Code hin. MiniFast ist ein vollausgestattetes Backdoor-Programm, das HTTP-Befehle verarbeitet, Dateien exfiltriert, Prozesse startet und Persistenzmechanismen über geplante Tasks einrichtet.

Doch die Hacker gingen noch weiter: Im April 2026 nutzten sie SEO-Poisoning – eine völlig neue Taktik für diese Gruppe. Sie registrierten Dutzende von Domains, die auf eine gefälschte SQL-Developer-Download-Seite (getsqldeveloper[.]com) verlinkten und diese in Suchmaschinen wie Bing und DuckDuckGo nach oben brachten. Entwickler, die nach der echten Oracle-Software suchten, landeten stattdessen auf der kompromittierten Seite und luden MiniFast herunter.

Für deutsche Unternehmen ist dies besonders besorgniserregend, da Luftfahrtzulieferer, IT-Dienstleister und Energiekonzerne im Fokus solcher Kampagnen stehen. Das BSI empfiehlt verstärkte Aufklärung der Mitarbeiter, Multi-Faktor-Authentifizierung und regelmäßige Sicherheitsupdates. Parallel offenbarten Ermittler, dass iranische Hacker auch Tankstellensysteme in den USA angriffen – ein Hinweis auf eine Ausweitung der Ziele auf kritische Infrastruktur, die auch deutsche Betreiber betreffen könnte.

Ähnliche Artikel