Die Cyber-Bedrohungslandschaft ist dynamisch, aber selten sehen wir eine derart rasche taktische Evolution wie aktuell bei der iranischen Staatshacker-Gruppe Nimbus Manticore (auch bekannt als Screening Serpens oder UNC1549). Laut aktuellen Berichten von Check Point und Palo Alto Networks Unit 42 hat der den iranischen Revolutionsgarden (IRGC) nahestehende Akteur seine Operationen seit Beginn der US-israelischen Militäraktion im Februar 2026 nicht nur fortgesetzt, sondern massiv beschleunigt und dabei völlig neue Playbooks sowie mutmaßlich KI-Unterstützung eingesetzt.
Vom Fake-Job zur KI-generierten Malware
Bisher war Nimbus Manticore vor allem für die „Iranian Dream Job“-Kampagne bekannt – ein der nordkoreanischen Operation Dream Job ähnliches Vorgehen, bei dem Mitarbeiter in der Verteidigungs-, Luftfahrt- und Telekommunikationsbranche mit attraktiven, aber fiktiven Stellenangeboten geködert wurden. Doch die neuen Angriffswellen zeigen einen Akteur, der seine Werkzeuge in Echtzeit anpasst.
Besonders brisant ist die Entdeckung eines neuen Backdoors namens MiniFast (aka MiniUpdate). Check Point Forscher fanden starke Indikatoren dafür, dass dieser Schadcode mit Hilfe von Künstlicher Intelligenz entwickelt wurde. Die Beweise? Exzessives Error-Handling, defensive Programmierlogik, repetitive und extrem beschreibende Funktions- und Methodennamen sowie detaillierte Debug-Statusmeldungen – alles typische Fußabdrücke von KI-generiertem Code.
Einordnung: Das ist ein Weckruf. KI senkt die Einstiegshürde für die Malware-Entwicklung drastisch. Dass staatliche Akteure KI nun nutzen, um mitten in einem laufenden Konflikt neue Backdoors vom Fließband zu produzieren, verändert die Spielregeln. Verteidiger müssen sich auf eine noch höhere Variantenvielfalt und kürzere Entwicklungszyklen einstellen.
AppDomain-Hijacking und der trojanisierte Zoom-Installer
Die technischen Infektionsketten von Nimbus Manticore haben sich ebenfalls weiterentwickelt. Im März 2026 nutzten die Angreifer gefälschte Meeting-Einladungen, um Opfer dazu zu bringen, einen trojanisierten Zoom-Installer herunterzuladen. Dieser nutzte eine Technik namens AppDomain Hijacking, um zunächst eine bösartige DLL (MiniJunk) zu laden, die wiederum den neuen MiniFast-Backdoor entfaltete.
AppDomain Hijacking ist ein geschickter Trick: Eine scheinbar harmlose, legitime ausführbare Datei wird gestartet und manipuliert das .NET-Framework so, dass sie eine Schaddatei in den eigenen Speicherbereich lädt. So umgeht die Malware oft erste Verteidigungslinien.
Der Paradigmenwechsel: SEO Poisoning als Angriffsvektor
Der vielleicht bemerkenswerteste taktische Wechsel ereignete sich im April 2026. Zum ersten Mal in der Geschichte dieser Gruppe verließ Nimbus Manticore das Phishing-Umfeld komplett und setzte auf SEO Poisoning.
Die Angreifer erstellten eine gefälschte Download-Seite für Oracles „SQL Developer“ unter der Domain getsqldeveloper[.]com. Um diese Seite ganz oben in den Suchergebnissen von Bing und DuckDuckGo zu platzieren, registrierten sie Dutzende Domains, die auf die Fake-Seite verlinkten und so das Link-basierte Reputationssystem der Suchmaschinen ausnutzten.
Analyse: Dieser Wechsel von hochgradig personalisiertem Spear-Phishing zu einem „Gießkannen-Ansatz“ über Suchmaschinen ist signifikant. Es bedeutet, dass die Angreifer nicht mehr zwingend wissen müssen, wen sie angreifen. Sie warten einfach darauf, dass ein ahnungsloser Entwickler nach einer gängigen Software sucht. Die Vertrauensbasis verschiebt sich dabei vom Absender der E-Mail zur Autorität der Suchmaschine. Es ist ein breiteres, aber potenziell effizienteres Netz, das vor allem IT- und Entwickler-Teams ins Visier nimmt.
MiniFast: Ein voll ausgestatteter Lauschangriff
Was kann der neue Backdoor eigentlich? MiniFast ist ein klassischer, aber hochgradig funktionaler Remote Access Trojan (RAT). Über HTTP kommuniziert er mit einem Command-and-Control-Server, lädt Tasks herunter und sendet Ergebnisse zurück. Vor der eigentlichen Befehlsausführung funkt das System Basisinformationen über den infizierten Rechner an die Angreifer.
Die Fähigkeiten lesen sich wie die Checkliste eines typischen APT-Tools: Dateioperationen, Verzeichnisauflistungen, Prozess-Manipulation (inklusive Beendigung per PID), Ausführung via cmd.exe, Privilege Escalation (über runas), Persistenz über geplante Tasks und das Erstellen von ZIP-Archiven zur Datenexfiltration. Besonders raffiniert: MiniFast kann das Polling-Intervall und den Jitter-Wert für seine Beacon-Anfragen dynamisch anpassen, um den Datenverkehr zu randomisieren und Netzwerkanalysen (Traffic Analysis) zu erschweren.
Eskalation in der physischen und digitalen Welt
Parallel zu diesen Berichten mehren sich die Vorfälle in der kritischen Infrastruktur. Palo Alto Networks Unit 42 bestätigte Angriffe auf ein US-Öl- und Gasunternehmen mit den neuen RAT-Varianten. Gleichzeitig berichten US-Medien über Vorfälle an US-Tankstellen, wo Hacker ungeschützte Automatic Tank Gauge (ATG) Systeme manipulierten. Zwar wurden keine physischen Schäden oder Lecks verursacht, doch die bloße Möglichkeit, Anzeigen zu manipulieren, wirft ernste Fragen zur Sicherheit von SCADA-Systemen auf.
Fazit
Die Entwicklung bei Nimbus Manticore ist ein Lehrstück für die moderne Cybersicherheit. Geopolitische Konflikte beschleunigen nicht nur physische, sondern auch digitale Waffenentwicklungen. Die Kombination aus KI-gestützter Malware-Generierung, der Ausweitung von Spear-Phishing auf SEO Poisoning und dem Fokus auf kritische Infrastruktur zeigt einen Akteur, der extrem anpassungsfähig agiert.
Für Verteidiger bedeutet das: Die alten Muster greifen nicht mehr. Man kann sich nicht mehr nur auf die Abschirmung von E-Mail-Postfächern verlassen. Die Überwachung von Suchergebnissen auf Typosquatting, die Absicherung von Entwickler-Workstations und die Implementierung robuster Netzwerkanalysen zur Erkennung von randomisiertem Beaconing werden zunehmend überlebenswichtig.
Quelle: The Hacker News
