Nimbus Manticore olarak bilinen bir grup İranlı hacker, şimdi Avrupa’daki büyük şirketlere odaklanarak faaliyetlerini genişletiyor. Siber güvenlik firması Check Point Research’ten (CPR) yeni araştırmalara göre, grup hassas bilgileri çalmak için savunma, telekomünikasyon ve havacılık sektörlerindeki işletmeleri hedefliyor.
UNC1549 veya duman kum fırtınası olarak da adlandırılan Nimbus Manticore, 2025’in başından beri aktif olarak izlendi ve daha önce İran Rüya İş Kampanyası’nı yönetti. Bu kampanyalar, özellikle artan jeopolitik gerginlik dönemlerinde İran’ın IRGC’sinin stratejik zeka toplama hedefleriyle uyumludur.
Saldırı Akışı Açıklandı
Saldırı, bir iş başvurusuna sahte bir e -posta davetiyle başlar. Çok gerçek görünen bu e-posta, kurbanları Boeing, Airbus ve Flydubai gibi tanınmış şirketleri taklit eden bir React şablonu kullanılarak oluşturulan hileli bir web sitesine yönlendiriyor.
Meşru görünmesini sağlamak için, her kişi siteye erişmek için benzersiz bir giriş ve şifre alır. Bu “kariyer” temalı web siteleri, sunucunun gerçek konumunu gizlemek için CloudFlare’nin arkasında kayıtlıdır. Giriş yaptıktan sonra, kurbanlar kötü amaçlı bir dosya indirmek için kandırılır. Bu dosya daha sonra bilgisayarlarını enfekte etmek için karmaşık bir olay zinciri başlar.
CPR’nin Araştırma Akış Tablosunda gösterildiği gibi, sıkıştırılmış bir zip arşivi olan indirilen dosya, meşru görünümlü bir program içerir (setup.exe). Bu program daha sonra, sistemin kontrolünü ele geçirmek ve saldırganların sunucularıyla iletişim kurmak için bir arka kapı da dahil olmak üzere diğer kötü amaçlı dosyaları gizlice yükler ve çalıştırır.
Yeni araçlar ve yaygın hedefler
İndirilen dosyanın içinde, bilgisayar korsanları, minibike (Slugresin olarak da bilinir) adı verilen eski bir kötü amaçlı yazılımın gelişmiş varyantı olan özel kötü amaçlı yazılımlar yerleştirir. Son aktivite, grubun tespitten kaçınma çabalarını gösteren yeni bir varyant Minijunk ile “sofistike önemli bir sıçrama” gösteriyor. Başka bir araç olan Minibrowse, fark edilmeden şifreler gibi önemli verileri çalmak için tasarlanmıştır.
Nimbus Manticore’un sürekli olarak Orta Doğu’yu, özellikle İsrail’i ve BAE’yi hedefleme geçmişi olsa da, Avrupa’ya yeni odak noktası önemli bir gelişmedir. Araştırmacılar, grubun Danimarka, İsveç ve Portekiz gibi ülkelerde aktif olduğunu belirtti.
Raporda ayrıca, saldırganların İK işe alım görevlileri olarak poz verdikleri ve konuşmayı e -postaya taşımadan önce LinkedIn gibi platformlarda kurbanlara ulaştıkları paralel, daha basit bir kampanyanın kullanımda olduğunu belirtiyor. Daha önce başka bir firma olan Prodaft tarafından bildirilen bu ayrı aktivite kümesi, daha az karmaşık bir araç seti ile mızrak-aktı, ancak aynı erişim hedefini kullanıyor.
Kontrol noktası araştırması grubun faaliyetlerini izlemeye devam ederken, firma, sahte e -postalar veya kötü amaçlı dosyalar çalışanlara bile ulaşabilmeden önce şirketlerin bu tür saldırılardan korunması gerektiğini önermektedir.