Nimbus Manticore kampány európai védelmi vállalatok ellen
A Check Point Research 2025 eleje óta a nyomon követi a Nimbus Manticore-t, egy Iránhoz köthető APT csoport aktivitását. A Nimbus Manticore-t, (más néven UNC1549 vagy Smoke Sandstorm) korábban az Iranian Dream Job kampánnyal hoztak összefüggésbe. A Check Point Research legújabb eredményei szerint a csoport Európára is kiterjesztette tevékenységét, és a védelmi, távközlési és repülési szektorokat vette célba.
A csoport hamis állásportálokat és spear-phishinget használ az áldozatok átverésére, és a toborzási folyamat részeként álcázott rosszindulatú fájlokat szállít miközben helyi és globális vállalatokat utánoz, mint például az Airbus, a Rheinmetall vagy a Boeing. A kampányok összhangban vannak az iráni Forradalmi Gárda (IRGC) stratégiai prioritásaival, és a fokozott geopolitikai feszültség időszakában az érzékeny védelmi beszállítókra vonatkozó hírszerzési információk gyűjtésére koncentrálnak.
A csoport olyan fejlődő malware-eket alkalmaz, mint a MiniJunk és a MiniBrowse, amelyek segítenek támadóknak rejtve maradni, adatokat lopni és hosszú távú hozzáférést biztosítani. A csoport legutóbbi tevékenysége jelentős fejlődést mutat a kifinomultság terén: egy korábban nem dokumentált technika használatát, amely a folyamat végrehajtási paramétereinek módosításával DLL-eket tölt be alternatív útvonalakról. Ez a MiniJunk névre keresztelt változat jól mutatja, hogy a Nimbus Manticore hogyan fejleszti folyamatosan a rosszindulatú szoftvereit, hogy elkerülje a felderítést.
