Thought Leadership
Die Hackergruppe Nimbus Manticore nutzt KI-generierte Schadsoftware und SEO-Poisoning, um IT-Infrastrukturen in Europa und den USA zu infiltrieren.
Die staatlich unterstützte iranische Hackergruppe Nimbus Manticore, die in der IT-Sicherheitsbranche auch unter den Namen Screening Serpens oder UNC1549 bekannt ist, hat eine neue koordinierte Cyber-Spionage-Kampagne gestartet. Die Aktivitäten richten sich gezielt gegen Organisationen und Unternehmen aus dem Luftfahrt- und Softwaresektor in den USA, Europa und dem Nahen Osten. Zeitlich folgten die Angriffe unmittelbar auf eine gemeinsame militärische Kampagne der USA und Israels gegen den Iran Ende Februar 2026.
Nimbus Manticore ist dem Umfeld der iranischen Revolutionsgarden (IRGC) zuzuordnen und ist in der Vergangenheit vor allem durch Phishing-Kampagnen aufgefallen, die gefälschte Stellenangebote im Verteidigungs-, Luftfahrt- und Telekommunikationsbereich nutzten. Aufgrund der taktischen Ähnlichkeiten mit Operationen nordkoreanischer Akteure wird dieses Vorgehen in Fachkreisen auch als Iranian Dream Job bezeichnet. Die jüngsten Vorfälle zeigen jedoch eine deutliche Weiterentwicklung der Angriffsmethoden, den Einsatz künstlicher Intelligenz bei der Entwicklung von Schadcode sowie eine Diversifizierung der Infiltrationswege.
Undokumentierte Hintertür MiniFast
Im Zentrum der neuen Angriffe steht eine bislang undokumentierte Hintertür mit dem Codenamen MiniFast, die alternativ auch als MiniUpdate bezeichnet wird. IT-Sicherheitsanalysten des Unternehmens Check Point stellten bei einer tiefgehenden Code-Analyse fest, dass das Programm deutliche Merkmale einer Entwicklung unter Zuhilfenahme von Werkzeugen der künstlichen Intelligenz aufweist. Zu den technischen Indizien gehört ein exzessives Fehler-Handling und eine ungewöhnlich ausgeprägte defensive Programmierlogik, die für manuell geschriebene Schadsoftware dieser Komplexitätsstufe untypisch ist.
Zudem weist der Code sich wiederholende Muster bei der Benennung von Funktionen und Methoden auf, bei denen auffallend beschreibende oder wortreiche Identifikatoren verwendet wurden. Der Quelltext enthält zudem zahlreiche detaillierte Zeichenketten zur Fehlermeldung sowie Statusnachrichten im Debug-Stil. Trotz der relativen Einfachheit der Schadsoftware ist die gesamte Code-Organisation streng modular aufgebaut. Diese Kombination aus sauberer Struktur und übertriebener Absicherung gilt als charakteristischer Fingerabdruck für automatisiert generierten Programmiercode.
Iranische Hacker nutzen AppDomain-Hijacking
Die Angriffsketten von Nimbus Manticore vollzogen zwischen Februar und April 2026 einen technologischen Wandel. In der ersten Welle vor dem Ausbruch der intensiven regionalen Konflikte inszenierten die Angreifer gefälschte Karrierechancen für Angestellte in Saudi-Arabien und Australien. Den Opfern wurde ein schadhaftes ZIP-Archiv übermittelt, das auf der Plattform OnlyOffice gehostet wurde. Beim Ausführen einer harmlos scheinenden ausführbaren Datei griffen die Hacker auf eine Technik namens AppDomain-Hijacking zurück.
Diese Methode manipuliert die Initialisierungsphase von .NET-Anwendungen, um Sicherheitsmechanismen auszuhebeln und eine schadhafte Dynamic Link Library der Schadsoftware MiniJunk zu laden. Im März 2026 modifizierte die Gruppe dieses Verfahren. Für die Verteilung nutzten die Täter einen manipulierten Installer für die Videokonferenz-Software Zoom. Es wird vermutet, dass die Schadsoftware im Rahmen einer Phishing-Kampagne mit gefälschten Besprechungseinladungen platziert wurde. Auch hier wurde das AppDomain-Hijacking eingesetzt, um anstelle von MiniJunk die neue Hintertür MiniFast im System zu verankern.
Erstmaliger Einsatz von SEO-Poisoning als Vertriebsweg
Im April 2026 erweiterte Nimbus Manticore das eigene Repertoire um eine Methode, die sich grundlegend von den bisherigen Phishing-Infiltrationen unterscheidet. Die Angreifer setzten gezielt Suchmaschinen-Optimierung zur Verbreitung von Schadcode ein, das sogenannte SEO-Poisoning. Die Gruppe registrierte Dutzende von Internet-Domänen, die durch gezielte Verlinkungen und Reputationssignale die Sichtbarkeit einer betrügerischen Webseite im Netz künstlich erhöhten. Diese gefälschte Plattform kopierte das Erscheinungsbild der offiziellen Download-Seite für das Softwarewerkzeug SQL Developer von Oracle unter der Adresse getsqldeveloper.com.
Anwender, die über Suchmaschinen wie Bing oder DuckDuckGo nach der legitimen Software suchten, wurden auf die schadhafte Seite gelenkt. Anstelle des echten Entwicklerwerkzeugs luden die Opfer einen manipulierten Installer herunter, welcher im Hintergrund die Hintertür MiniFast auf dem System installierte. Diese Taktik zielte darauf ab, technische Fachkräfte und Datenbankadministratoren direkt anzusprechen, ohne auf direkte Spear-Phishing-E-Mails angewiesen zu sein.
Schadsoftware verbleibt langfristig im Zielnetzwerk
Die Schadsoftware MiniFast ist als voll funktionsfähige Hintertür konzipiert, die auf eine langfristige Persistenz im Zielnetzwerk und die Ausführung entfernter Befehle ausgelegt ist. Nach der Infektion übermittelt das Programm grundlegende Systeminformationen an den Server der Angreifer. Anschließend tritt die Software in eine Kommunikationsschleife ein, bei der sie in regelmäßigen Abständen über HTTP-Anfragen Aufgaben abruft, Ergebnisse der Befehlsausführung hochlädt und zusätzliche Payloads nachlädt.
Das Repertoire der unterstützten Befehle ist vielseitig und ermöglicht administrative Eingriffe in das Betriebssystem. MiniFast unterstützt Dateioperationen, Verzeichnisauflistungen und die Prozess-Enumeration. Befehle können direkt über die Windows-Eingabeaufforderung cmd.exe gestartet werden, und laufende Prozesse lassen sich über ihre Prozess-Identifikationsnummer gezielt beenden. Zudem verfügt das Programm über Funktionen zum Laden externer DLL-Dateien, zum Erstellen von ZIP-Archiven und zur Privilegienausweitung über den Systembefehl runas. Um einer Entdeckung durch Netzwerkanalyse-Werkzeuge zu entgehen, kann die Software das Abfrageintervall und den sogenannten Jitter-Wert zur Randomisierung der Server-Verbindungen dynamisch anpassen.
Öl- und Gasssektor angegriffen
Die Erkenntnisse über die gesteigerte Operationsgeschwindigkeit von Nimbus Manticore werden durch parallele Untersuchungen des Sicherheitsdienstes Palo Alto Networks Unit 42 gestützt. Die Analysten dokumentierten eine geografische Ausweitung der Angriffe auf Einrichtungen in bis zu fünf Ländern, darunter Israel, die Vereinigten Arabischen Emirate, die USA und weitere Staaten im Nahen Osten. Zu den Zielen gehörte unter anderem ein US-amerikanisches Unternehmen aus dem Öl- und Gassektor. Die Angreifer nutzten dabei tief personalisierte Social-Engineering-Taktiken, um die Erfolgschancen der Infektion zu erhöhen.
Gleichzeitig steht die Gruppierung im Verdacht, Angriffe auf kritische Infrastrukturen in den USA durchgeführt zu haben. Die Sabotageakte richteten sich gegen automatische Tankmesssysteme an Tankstellen in mehreren US-Bundesstaaten. Die Hacker nutzten ungeschützte, ohne Passwort über das Internet erreichbare Systeme aus, um die Display-Anzeigen der Kraftstofftanks zu manipulieren. Obwohl kein physischer Schaden an den Anlagen entstand, warnen Behörden vor den Risiken, da durch solche Manipulationen echte Treibstofflecks unentdeckt bleiben könnten.
„Sie haben mitten im Konflikt eine völlig neue Backdoor gebaut und bereitgestellt, während die Operationen aktiv liefen. Wir haben auch eine dritte Kampagnenwelle mit einem völlig anderen Drehbuch verfolgt: SEO-Poisoning. Sie bauten eine gefälschte SQL Developer-Download-Seite und schoben sie an die Spitze von Bing und DuckDuckGo – kein Spear-Phishing, kein gefälschtes Jobangebot, sondern sie warteten einfach darauf, dass ein Entwickler nach gängiger Software sucht. Und wenn man alle drei Wellen von Februar bis April zusammenrechnet, gab es keine Pause. Der Konflikt hat sie nicht verlangsamt, er hat sie tatsächlich beschleunigt.“
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Research
