Die iranische APT-Gruppe Nimbus Manticore, die als Subgruppe der Hackergruppe Charming Kitten (APT35) gilt, hat ihre Operationen trotz und nach dem US-Militäreinsatz gegen den Iran fortgesetzt. Seit mindestens 2022 aktiv, hat die Gruppe nun ihre Taktiken und ihr Malware-Arsenal erheblich modernisiert.
Die Gruppe ist bekannt für die Entwicklung und den Einsatz von Backdoors wie MiniBike und MiniBus, die vorrangig gegen Luft- und Raumfahrt-, Verteidigungs- und Luftfahrtsektoren im Nahen Osten und Europa eingesetzt wurden. Im November 2024 wurde Nimbus Manticore beschuldigt, Taktiken der nordkoreanischen Lazarus Group in einer sogenannten “Dream Job”-Kampagne gegen die Luftfahrtindustrie übernommen zu haben.
Neue Angriffsmethoden und Malware-Varianten
Die aktuellen Kampagnen zeigen einen technologischen Sprung: Statt DLL-Sideloading nutzt die Gruppe nun AppDomain-Hijacking, ein Verfahren, das trojanerisierte XML-.config-Dateien in .NET-Anwendungsverzeichnissen platziert, um beim Start bösartige DLLs zu laden. Check Point dokumentiert zwei neue Malware-Varianten: MiniJunk und MiniFast.
MiniJunk wurde über Phishing-E-Mails verbreitet, die Mitarbeiter von Luftfahrt- und Softwarefirmen in Saudi-Arabien und Australien dazu brachten, komprimierte ZIP-Archive über die OnlyOffice-Plattform herunterzuladen. MiniFast, eine 64-Bit-Windows-PE-DLL, tarnt sich als Chrome-Browser und ermöglicht ferngesteuerte Befehle, Dateiverwaltung, Prozessenumeration und das Deployment zusätzlicher Malware.
KI-gestützte Entwicklung und Suchmaschinen-Missbrauch
Bemerkenswert ist, dass Check Point die Entwicklung dieser Tools auf den Einsatz von Large Language Models (LLMs) und KI-assistierten Techniken zurückführt. Dies deutet auf erhebliche technische Ressourcen und Kapazitäten hin.
Im April nutzte Nimbus Manticore eine gefälschte SQL-Developer-Download-Website zur Malware-Verbreitung und missbrauchte Suchmaschinen-Optimierungstechniken. Die bösartige Domain rangierte bei Bing und DuckDuckGo hochwertig für die Suchanfrage “SQL Developer”, was ahnungslosen Nutzern einen hohen Infektionsrisiko aussetzte.
In einer weiteren Kampagne verwendete die Gruppe Phishing-E-Mails, die sich als US-amerikanische Fluggesellschaft ausgaben und zu trojanisierten Zoom-Installern führten.
Geopolitische Verschiebung und Perspektiven
Die Erweiterung auf US-Ziele markiert einen strategischen Wandel. Während Nimbus Manticore traditionell auf Israel, die Vereinigten Arabischen Emirate und andere Regionen fokussierte, zeigt die aktuelle Fokussierung auf US-amerikanische Luftfahrtunternehmen eine deliberate geografische Neuausrichtung inmitten steigender geopolitischer Spannungen im Nahen Osten.