Für die Schadcode-Ausführung setzt Nimbus Manticore laut Check Point inzwischen auf eine Technik namens AppDomain-Hijacking statt auf das frühere DLL-Sideloading. Dabei wird eine manipulierte XML-Konfigurationsdatei im Verzeichnis der angegriffenen .NET-Anwendung platziert, sodass beim Start eine bösartige DLL geladen wird.
In einer Kampagne nutzte die Gruppe einen Phishing-Köder, der früheren Aktionen ähnelte, und richtete sich gegen Beschäftigte von Luftfahrt- und Softwarefirmen in Saudi-Arabien und Australien. Die Opfer sollten ein komprimiertes ZIP-Archiv über die Plattform OnlyOffice herunterladen, was zur Infektion mit einer neuen Version der Backdoor MiniJunk führte.
Eine weitere Kampagne arbeitete mit gefälschten Stellenangeboten, die sich als eine US-amerikanische Fluggesellschaft ausgaben und auf einen trojanisierten Zoom-Installer führten. Über AppDomain-Hijacking endete die Infektionskette in einer neuen Backdoor namens MiniFast.
MiniFast wird als 64-Bit-Windows-PE-DLL ausgeliefert, gibt sich als Chrome-Browser aus und ist auf dauerhafte Persistenz sowie die Ausführung entfernter Befehle ausgelegt. Die Backdoor erlaubt es Angreifern unter anderem, Dateien zu manipulieren und zu exfiltrieren, Prozesse aufzulisten und zu beenden, Verzeichnisse zu verändern, geplante Aufgaben anzulegen und weitere Schadlast nachzuladen.
„Nimbus Manticore zeigte eine ausgeprägte Fähigkeit, sich rasch anzupassen, Infrastruktur aufrechtzuerhalten und neue Werkzeuge zu entwickeln. Wir gehen davon aus, dass diese Fähigkeit zumindest teilweise durch LLM-gestützte Werkzeuge und KI-unterstützte Entwicklungsmethoden ermöglicht wurde“, schreibt Check Point.
Im April beobachtete Check Point zudem eine gefälschte Download-Website für SQL Developer, über die die Gruppe ebenfalls die Backdoor MiniFast verteilte. Die Kampagne missbrauchte Suchmaschinenoptimierung: Dutzende Domains verwiesen auf die gefälschte Seite, um deren Ansehen zu steigern. Zum Zeitpunkt der Analyse rangierte die bösartige Domain bei mehreren Suchmaschinen wie Bing und DuckDuckGo weit oben bei der Suchanfrage „sql developer“, sodass Nutzer auf der Suche nach dem legitimen Download eher auf die Seite stießen.
Die Geschichte der Gruppe reicht weiter zurück: Im November 2024 wurde Nimbus Manticore vorgeworfen, in einer „Dream Job“-Kampagne gegen die Luft- und Raumfahrtbranche Taktiken der nordkoreanisch verbundenen Lazarus-Gruppe übernommen zu haben. Anfang dieses Jahres warnte Google davor, dass die APT-Gruppe weiterhin Organisationen im Verteidigungssektor mit gefälschten Stellenangeboten angreife.
