Iranski hakeri napadaju zlonamjernim softverom MiniFast: Koliko je opasna nova kampanja SEO kontaminiranja ?

Nova kampanja kibernetičkih napada koju su otkrili stručnjaci za sigurnost pokazuje da skupina Nimbus Manticore, poznata i pod nazivom UNC1549 te osumnjičena za povezanost s iranskom Revolucionarnom gardom, drastično mijenja način korištenja zlonamjernog softvera i značajno podiže razinu svoje operativne sofisticiranosti. Kampanja se odvija u jeku geopolitičkih sukoba povezanih s operacijom Epic Fury koja je započela krajem veljače 2026. godine. Posebno je zabrinjavajuće što je ova grupa po prvi put upotrijebila tehnike kontaminiranja SEO-om kako bi širila zlonamjerni kod pod krinkom legitimnog softvera.

U prošlosti se Nimbus Manticore uglavnom fokusirao na ciljeve unutar zrakoplovnog, obrambenog i telekomunikacijskog sektora, koristeći phishing e-poruke vezane uz zapošljavanje. Međutim, nedavne operacije pokazuju da se opseg napada proširio na Sjedinjene Američke Države, Europu i Bliski istok, pri čemu hakeri koriste lažni identitet zrakoplovnih kompanija ili poznatih dobavljača softvera kako bi obmanuli žrtve.

Na početku kampanje 2026. godine hakeri su često slali phishing poruke s privitcima u obliku ZIP datoteka pohranjenih na legitimnim platformama poput OnlyOfficea. Te datoteke iskorištavaju naprednu tehniku otmice aplikacijske domene (AppDomain hijacking), koja prisiljava pouzdanu .NET aplikaciju da učita zlonamjerni DLL kroz konfiguracijsku datoteku i tako potajno izvrši kod. Kada korisnici otvore te datoteke, pokreće se složeni višestupanjski lanac infekcije koji u konačnici dovodi do instalacije nove verzije zlonamjernog softvera MiniJunk.

Tijekom operacije Epic Fury napadačka je skupina otišla korak dalje i koristila modificirani instalacijski program za aplikaciju Zoom koji je bio pretvoren u trojanca. Ovaj zlonamjerni softver simulira posve legitiman proces instalacije, dok u pozadini tajno implementira opasne komponente u sustav. Ključne tehnike obuhvaćaju iskorištavanje ispravno potpisanih binarnih datoteka radi izbjegavanja sigurnosnih alata i otmicu zakazanih zadataka kroz Zoomov mehanizam ažuriranja radi trajnog pristupa sustavu. Uz to, koristi se višestupanjski loader s tehnikama zamagljivanja koda poput ROT13 algoritma i obrnutih tekstualnih nizova, a softver prije pokretanja provjerava okruženje kako bi izbjegao analizu u sigurnosnim sandbox sustavima. Ova kampanja ujedno označava dolazak MiniFasta, nove varijante zlonamjernog softvera koja u potpunosti zamjenjuje MiniJunk. Riječ je o 64-bitnoj DLL datoteci koja hakerima daje potpunu kontrolu nad zaraženim računalom, uključujući krađu dokumenata, daljinsko izvršavanje naredbi i manipulaciju procesima. MiniFast komunicira s upravljačkim poslužiteljem putem strukturiranih HTTP zahtjeva i JSON podataka, pri čemu lažira promet preglednika Google Chrome kako bi se neprimjetno uklopio u uobičajenu mrežnu aktivnost.

Prema izvješću koje je tvrtka Check Point podijelila sa sigurnosnim portalom GBHackers, treća faza ove operacije oslonila se isključivo na tehnike kontaminiranja SEO-om. Hakeri su izradili lažnu web stranicu getsqldeveloper koja je dizajnirana tako da vjerno kopira službeni Oracle SQL Developer portal za preuzimanje. Kako bi povećali vidljivost na tražilicama, napadači su registrirali mnoštvo domena i koristili agresivne tehnike zatrpavanja ključnim riječima poput besplatnog preuzimanja SQL alata. Zbog toga je zlonamjerna web stranica brzo dosegnula same vrhove rezultata pretraživanja na platformama Bing i DuckDuckGo. Korisnici koji su tražili SQL alate tako su preusmjeravani na lažnu stranicu s koje su preuzimali instalacijski program zaražen softverom MiniFast, što predstavlja jasan odmak od tradicionalnog phishinga prema iskorištavanju tražilica.

Detaljna analiza izvornog koda otkriva da MiniFast pokazuje jasne znakove razvoja uz pomoć umjetne inteligencije. Stručnjaci su uočili neobično duga i ponavljajuća imena funkcija, pretjerano komplicirane mehanizme za rukovanje pogreškama kod sasvim jednostavnih sučelja, modularni dizajn koji nije pretjerano složen te brojne poruke za otklanjanje pogrešaka ugrađene izravno u kod. Ove karakteristike upućuju na to da je napadački tim koristio velike jezične modele ili automatizirane alate za programiranje kako bi ubrzao razvoj softvera i olakšao njegovu prilagodbu na terenu. U praksi MiniFast djeluje kao potpuni stražnji ulaz (backdoor) s vrlo širokim spektrom mogućnosti. On omogućuje daljinsko izvršavanje naredbi u naredbenom retku, učitavanje i preuzimanje datoteka, popisivanje mapa i aktivnih procesa te održavanje stalne prisutnosti kroz zakazane zadatke. Zlonamjerni softver također koristi Base64 kodiranje za šifriranje zadataka i podržava bogatu strukturu naredbi, dajući operaterima duboku kontrolu nad kompromitiranim sustavima.

Najnovije operacije skupine Nimbus Manticore pokazuju visoku razinu zrelosti u taktikama kibernetičkog ratovanja. Kombinacija SEO trovanja, razvoja zlonamjernog koda pokretanog umjetnom inteligencijom i naprednih tehnika prikrivanja svjedoči o brzoj evoluciji ove skupine u kontekstu sve napetijih geopolitičkih sukoba. Kontinuirano ciljanje sektora visoke vrijednosti, a posebice američke zrakoplovne industrije, u potpunosti je usklađeno s iranskim strateškim ciljem prikupljanja obavještajnih podataka velikih razmjera, što još jednom potvrđuje trend sve čvršće povezanosti kibernetičkih napada i suvremenih vojnih sukoba.