Beobachtungen
Seit dem Beginn der US-amerikanisch-israelischen Militäroperation am 28. Februar 2026 intensiviert der iranische Bedrohungsakteur Nimbus Manticore seine Cyberoperationen. Dabei treten drei methodische Neuerungen in dieser Operationsphase erstmals auf.
Der Einsatz von AppDomain-Hijacking als Ersatz für das bisher genutzte DLL-Sideloading. Der Missbrauch eines legitimen Zoom-Installationsprozesses zur Installation von Schadsoftware unter Ausnutzung eines systemeigenen Scheduled Tasks und die erstmalige Nutzung von Suchmaschinenmanipulation (SEO-Poisoning) für den Download und die Installation von Schadsoftware. Parallel dazu ersetzt die neue Backdoor namens MiniFast das bisherige Backdoor-Framework MiniJunk.
Nimbus Manticore demonstriert unter aktiven Kriegsbedingungen eine operative Resilienz, die angesichts zerstörter physischer Infrastruktur bemerkenswert ist. Der Akteur ist nicht nur weiterhin voll funktionsfähig, sondern hat seine technische Angriffsfläche erweitert und seine Werkzeuge aktiv weiterentwickelt.
Methoden
Bei der ersten Angriffswelle im Februar 2026 dient Phishing als Initialvektor. Dabei werden gefälschte Stellenangebote bekannter Unternehmen aus der Luftfahrt- und Softwarebranche genutzt. Die Adressaten werden dabei aufgefordert, ein komprimiertes ZIP-Archiv von der kollaborativen Plattform OnlyOffice herunterzuladen. Das Archiv enthält neben einer legitimen, Microsoft-signierten Binärdatei eine manipulierte Konfigurationsdatei.
Die zweite Welle, die mit dem Beginn von Operation Epic Fury zusammenfällt, verwendet einen konzeptionell ausgefeilteren Angriffsvektor. Neben Phishing, die eine US-amerikanische Fluggesellschaft imitierten, wird ein trojanisierter Zoom-Installer als Angriffsmethode eingesetzt.
Die dritte Kampagnenwelle (April 2026, nach dem Waffenstillstand) markiert eine methodische Abweichung. Anstelle des üblichen Phishings wird eine gefälschte Download-Seite für das Datenbankwerkzeug SQL Developer eingesetzt. Diese wird unter der Domain getsqldeveloper[.]com betrieben. Durch Registrierung mehrerer Verlinkungsdomains sowie Keyword-Stuffing erzielt die Seite hohe Platzierungen in den Suchergebnissen von Bing und DuckDuckGo. Der so ausgelieferte trojanisierte Installer installiert die Backdoor MiniFast.
Attribution
Check Point Research identifiziert den Akteur auf Basis von Infrastrukturüberschneidungen, Malware, charakteristischen Phishing-Themen und der konsistenten Nutzung von Azure-Webdiensten als C2-Infrastruktur. Mandiant bestätigt dieselbe Kampagnentradition auf Basis eigener Incident-Response-Einsätze seit 2023. Beide Dienstleister ordnen den Akteur den Iranischen Revolutionsgarden (IRGC) zu.
Handlungsempfehlungen
Check Point Research stellt einen ausführlichen Bericht mit Indicators of Compromise (IOCs) zur Verfügung. Wir empfehlen daher sämtlichen Stellen, die ins Visier des Angreifers geraten könnten, zur Prüfung der eigenen Systeme und Netze anhand der IOCs.