Um grupo de ameaças iraniano bem conhecido encontrou uma nova maneira de implantar malware nas máquinas das pessoas. Em vez de enviar e-mails de phishing, o grupo construiu um site falso que imitava uma página de download real de software de banco de dados e usou truques de mecanismo de busca para classificá-lo próximo ao topo dos resultados. Qualquer pessoa que pesquisasse a ferramenta online e clicasse no link errado saía com um backdoor instalado silenciosamente em seu sistema.
Identificação do grupo e motivação
O grupo por trás dessa atividade é o Nimbus Manticore, também rastreado como UNC1549, e opera sob o Corpo da Guarda Revolucionária Islâmica (IRGC) do Irã. O grupo tem um longo histórico de direcionar profissionais de software e aviação através de iscas de phishing personalizadas com temas de carreira. O que torna essa nova onda diferente é o uso de manipulação de mecanismo de busca como mecanismo de entrega, algo que os pesquisadores não haviam observado anteriormente desse grupo.
Analistas da Check Point Research identificaram essa atividade em três ondas entre fevereiro e abril de 2026, coincidindo com e seguindo a campanha militar dos EUA contra o Irã conhecida como Operação Epic Fury. Segundo a Check Point, o grupo mostrou forte capacidade de adaptar rapidamente ferramentas e manter infraestrutura mesmo sob condições de guerra ativa.
Técnica de envenenamento de SEO
A nova onda, que os pesquisadores chamam de campanha "SQL Developer", ocorreu em abril de 2026. Os atacantes registraram um domínio falso chamado getsqldeveloper[.]com que imitava uma página de download legítima para o SQL Developer da Oracle, uma ferramenta de gerenciamento de banco de dados amplamente utilizada. Usuários que visitaram o site e tentaram um download receberam um instalador armamentizado que implantou silenciosamente um novo backdoor chamado MiniFast.
A operação foi construída sobre mais do que apenas um site falso. Os atacantes registraram dezenas de domínios que apontavam todos para a página falsa principal, aumentando sua classificação por meio de sinais baseados em links. O site também lotou frases repetidas como "Download SQL Developer" para subir nos resultados de pesquisa. No momento da análise, o domínio falso apareceu próximo ao topo dos resultados do Bing e DuckDuckGo para o termo de pesquisa "sql developer".
A mudança para o envenenamento de SEO marca uma mudança real na forma como o Nimbus Manticore opera suas operações. Suas campanhas passadas quase sempre dependiam de e-mails de phishing personalizados com ofertas de emprego falsas direcionadas a funcionários de empresas de aviação e software. Desta vez, em vez de abordar os alvos diretamente, o grupo se colocou no caminho de usuários que já estavam procurando uma peça de software confiável.
Backdoor MiniFast e desenvolvimento assistido por IA
O MiniFast é um DLL de 64 bits do Windows que funciona como um backdoor completo e funcional construído para acesso remoto de longo prazo. Ele se comunica com servidores de atacantes usando endpoints HTTP estruturados e disfarça seu tráfego impersonando um navegador Chrome por meio de uma string User-Agent codificada. Os operadores podem usá-lo para executar comandos de shell, gerenciar arquivos, listar processos em execução, fazer upload de dados e até tentar elevação de privilégio.
Pesquisadores da Check Point também encontraram sinais claros de que o malware foi desenvolvido com ajuda de ferramentas de IA. O código inclui tratamento excessivo de erros, nomes de funções verbosos e mensagens de depuração detalhadas que são padrões comuns em código gerado por IA. O grupo parece estar usando modelos de linguagem grandes para acelerar o desenvolvimento e lançar ferramentas atualizadas mais rapidamente sob pressão operacional de guerra.
Impacto e alcance da campanha
O uso de envenenamento de SEO permite que o grupo alcance um público mais amplo sem a necessidade de direcionamento específico de e-mail. Isso aumenta a superfície de ataque e torna a detecção mais difícil para equipes de segurança que não monitoram tráfego de busca ou integridade de downloads de software. A técnica de hijacking de AppDomain, usada para carregar o DLL malicioso, explora como o tempo de execução .NET carrega arquivos de configuração de aplicativo, permitindo que o DLL malicioso execute dentro do contexto de um processo legítimo e confiável sem levantar suspeitas imediatas.
Indicadores de comprometimento (IoCs)
Equipes de segurança são fortemente aconselhadas a monitorar alterações inesperadas em tarefas agendadas e comportamento incomum de carregamento de DLL, pois esses são centrais para o método de ataque do grupo. Usuários e organizações devem sempre baixar software diretamente de sites oficiais de fornecedores, em vez de confiar em resultados de mecanismos de busca, já que o envenenamento de SEO pode empurrar páginas falsas à frente das genuínas com pouco aviso.
Os indicadores de comprometimento incluem múltiplos hashes SHA256 de arquivos maliciosos e domínios de infraestrutura C2 (Comando e Controle) hospedados em serviços como Azure. Domínios como business-startup[.]org, getsqldeveloper[.]com e variações de licencemanagers e globalit-consultants foram identificados como parte da infraestrutura maliciosa. É crucial notar que endereços IP e domínios estão intencionalmente defanged (por exemplo, [.]) para evitar resolução acidental.
Medidas de mitigação recomendadas
Para mitigar essa ameaça, as organizações devem implementar políticas de download de software que verifiquem a origem oficial dos instaladores. O monitoramento de comportamento de processos para detectar DLLs carregadas inesperadamente ou tarefas agendadas modificadas é essencial. Além disso, a conscientização dos usuários sobre a verificação de URLs antes de baixar software de desenvolvimento é uma camada de defesa crítica. A atualização de ferramentas de segurança para incluir assinaturas de detecção para o MiniFast e domínios associados deve ser priorizada.
O que os CISOs devem fazer imediatamente
Executivos de segurança devem revisar os processos de aquisição de software para garantir que não haja dependência de resultados de busca para downloads críticos. A implementação de soluções de proteção de endpoint que monitorem a integridade de arquivos e o carregamento de DLLs pode ajudar a detectar a atividade do MiniFast. A análise de tráfego de rede para identificar comunicações com domínios suspeitos listados nos IoCs também é recomendada. A colaboração com equipes de inteligência de ameaças para atualizar regras de detecção com base nas novas TTPs do Nimbus Manticore é vital.
Perguntas frequentes
Qual é o objetivo do ataque?
O objetivo é estabelecer acesso remoto persistente (backdoor) em sistemas de desenvolvedores e profissionais de TI para espionagem ou preparação para ataques futuros.
Como o malware se disfarça?
O instalador malicioso imita a página de download oficial do SQL Developer da Oracle, enganando usuários que buscam ferramentas legítimas.
Existe proteção contra essa técnica?
Sim, o uso de listas de bloqueio de domínios, verificação de integridade de arquivos e educação do usuário sobre fontes de download confiáveis são medidas eficazes.