Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Un'immagine digitale dallo stile cinematografico mostra cinque hacker incappucciati e in ombra, seduti in fila davanti a dei computer portatili in una stanza buia. L'hacker centrale è in primo piano, con lo schermo che riflette del codice verde e un piccolo stemma iraniano. Sullo sfondo campeggia una grande bandiera dell'Iran mossa da pieghe tridimensionali. Dietro ai computer si sovrappongono grafiche digitali fantascientifiche in rosso e verde, che includono linee di codice, una mappa dell'Iran in alto a destra e scritte di avviso come "ACCESS GRANTED", "SYSTEM BREACH" e "TARGET ACQUIRED", evocando un'atmosfera di cyber-guerra.

Nimbus Manticore torna all’attacco: falsi Zoom e offerte di lavoro usati per infettare aziende strategiche

26 Maggio 2026 09:23
In sintesi

Nimbus Manticore ha rilanciato l’Operazione Epic Fury usando falsi annunci di lavoro, installer di Zoom compromessi e siti SQL Developer contraffatti per diffondere malware. Il gruppo, collegato all’IRGC iraniano, ha preso di mira aziende di difesa, software e settore aeronautico tra Stati Uniti, Europa e Medio Oriente. La campagna segna un’evoluzione nelle tecniche operative con l’introduzione del malware MiniFast e possibili componenti sviluppate tramite strumenti di intelligenza artificiale.

Il gruppo iraniano Nimbus Manticore è tornato con una nuova campagna nell’ambito dell’Operazione Epic Fury. Gli aggressori hanno camuffato file dannosi da annunci di lavoro, un programma di installazione di Zoom e una pagina di download di SQL Developer per colpire i dipendenti di aziende del settore aeronautico, della difesa e del software negli Stati Uniti, in Europa e in Medio Oriente.

Durante l’operazione Epic Fury, gli aggressori sono passati a una catena di attacco più complessa. Hanno creato un programma di installazione di Zoom infetto che avviava il vero programma di installazione, camuffando l’utente. Il malware attendeva contemporaneamente che il normale processo di aggiornamento di Zoom comparisse nell’Utilità di pianificazione di Windows e lo sostituisse per infiltrarsi nel sistema, mascherandosi da attività normale.

In questa campagna, Nimbus Manticore ha utilizzato per la prima volta un nuovo strumento chiamato MiniFast. Si tratta di un malware per il controllo remoto di un computer infetto. MiniFast può ricevere comandi da un server di comando e controllo, eseguire comandi tramite riga di comando, visualizzare processi e dischi, scaricare e caricare file, eliminare dati, creare archivi, terminare processi e tentare di ottenere privilegi elevati.

Advertising

Il gruppo è collegato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). In precedenza, Nimbus Manticore, noto anche come UNC1549, utilizzava principalmente email con false offerte di lavoro.

Ora, gli aggressori hanno ampliato il loro repertorio di tattiche. In una campagna, alle vittime è stato chiesto di scaricare un archivio dalla piattaforma OnlyOffice che, camuffato da annuncio di lavoro, conteneva un file Microsoft legittimo, un file di configurazione e una libreria dannosa.

Per lanciare il codice dannoso, il gruppo ha utilizzato il dirottamento del dominio di un’applicazione .NET. Questa tecnica induce un programma legittimo a caricare una libreria esterna all’avvio. Quando il programma veniva avviato, la vittima visualizzava un falso messaggio di errore e la fase successiva dell’infezione, inclusa una nuova versione di MiniJunk, veniva distribuita sul computer.

I ricercatori di Check Point hanno inoltre trovato indizi che suggeriscono che parte del codice potrebbe essere stato scritto o modificato utilizzando strumenti basati sull’intelligenza artificiale. Ciò è evidenziato da una gestione degli errori eccessivamente prolissa, nomi di funzioni lunghi e descrittivi, numerosi messaggi di debug e una struttura piuttosto modulare per un malware relativamente semplice.

Dopo il cessate il fuoco, il gruppo ha tentato un altro metodo per diffondere malware. Ad aprile, è apparso un sito web fasullo, getsqldeveloper[.]com, che si spacciava per una pagina di download di SQL Developer. Gli aggressori hanno registrato decine di domini che rimandavano a questo sito e hanno riempito le pagine con frasi di ricerca come “Scarica SQL Developer” per migliorare il posizionamento del sito fasullo su Bing e DuckDuckGo.

Advertising

Gli obiettivi di Nimbus Manticore rimangono legati a settori di interesse per l’intelligence iraniana. Il gruppo attacca aziende del settore della difesa, delle telecomunicazioni, dell’aviazione e del software e, nella sua ultima campagna, ha intensificato significativamente la sua attenzione sulle organizzazioni aeronautiche statunitensi.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


1744358477148 300x300
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research