伊朗黑客通过网络钓鱼和 SEO 投毒部署 MiniFast 和 MiniJunk V2

伊朗国家级威胁组织发起AI赋能网络攻击，多波次针对航空软件及关键基础设施
网络安全厂商Check Point近期发布最新威胁分析报告，披露伊朗国家级网络威胁组织Nimbus Manticore（别名Screening Serpens、UNC1549）的新一轮大规模网络攻击活动。该组织受伊朗伊斯兰革命卫队（IRGC）资助，在2026年2月底美以联合针对伊朗开展军事行动后，迅速启动全新攻击链路，瞄准美国、欧洲及中东地区的航空、软件行业核心机构，展开精准网络间谍渗透。
本轮攻击呈现显著技术升级与战术革新，不仅运用了此前从未披露的攻击技术与强化作战能力，还上线了一款全新后门工具MiniFast（亦称MiniUpdate）。多方技术研判证实，这款后门程序具备鲜明的AI辅助开发特征，是该组织技术迭代的核心标志，也成为本轮网络活动的最大亮点。
作为伊朗知名的国家级威胁团伙，Nimbus Manticore长期聚焦国防、航空、电信等高价值行业，惯用虚假职场招聘类钓鱼诱饵实施定向攻击，其系列活动被业界统称为“Iranian Dream Job”。该代号源于其攻击战术与朝鲜黑客组织的“Operation Dream Job”高度相似，均以高薪求职机会为社会工程学核心突破口，渗透目标企业内部网络。
三波次迭代攻击：战术全面转型，攻击节奏持续提速
结合2026年2月至4月的完整攻击链路来看，该组织彻底摒弃了单一钓鱼攻击模式，呈现出清晰的战术转型特征，三波攻击层层递进、手段持续翻新，全程无作战停顿，地区冲突反而加速了其网络作战节奏。
2月底首轮攻击以沙特、澳大利亚航空与软件行业从业人员为精准目标。攻击者伪造优质职场招聘信息，诱导受害者下载托管于OnlyOffice平台的压缩包文件。用户运行压缩包内看似无害的可执行程序后，会触发AppDomain劫持技术，静默加载恶意DLL程序MiniJunk，完成初始入侵驻留，全程无明显异常弹窗，隐蔽性极强。
3月第二轮攻击延续部分原有战术，同时新增钓鱼载体与部署方式。攻击者伪造虚假视频会议邀请，捆绑植入木马的Zoom安装程序，诱导用户执行安装操作。恶意程序运行后，同样借助AppDomain劫持漏洞，部署全新后门MiniFast，实现更深层的内网渗透与权限控制，大幅提升攻击成功率。
4月第三波攻击实现关键性战术突破，该组织首次启用SEO投毒恶意软件投递方式，彻底摆脱传统钓鱼依赖。攻击者注册数十个关联虚假域名getsqldeveloper[.]com的衍生站点，搭建高度仿真的Oracle SQL Developer官方下载页面，通过搜索引擎优化技术刷高网站权重，使其在Bing、DuckDuckGo等搜索引擎排名置顶。不知情的行业开发者、企业运维人员下载木马化安装程序后，设备会自动植入MiniFast后门，实现静默入侵。
AI赋能开发：MiniFast后门的典型技术特征
技术团队深度逆向分析后确认，MiniFast后门为AI辅助开发产物，其代码结构与逻辑特征和传统人工编写的恶意软件差异显著，具备多项典型AI生成代码特质。尽管整体功能框架简洁，但代码规范性、模块化程度远超该组织过往工具，具体特征十分鲜明。
该后门程序存在大量冗余完善的错误处理机制与防御性编程逻辑，能够规避常规查杀与调试分析；函数、方法命名存在高度重复模式，多采用冗长且描述性的标识符，是AI批量生成代码的典型痕迹；同时内置海量详细错误报告字符串与调试状态日志，便于攻击者实时排查运行问题；整体采用标准化模块化架构，各功能模块独立拆分，便于后续迭代更新、功能增减与二次开发。
MiniFast后门：全功能持久化远控工具
MiniFast是一款功能完备的长效远控后门（RAT），核心定位为长期内网驻留、远程指令执行与数据窃取，适配复杂的持续性间谍作战场景。该恶意软件通过HTTP协议与攻击者远程服务器建立加密通信，可自动获取攻击指令、上传命令执行日志、窃取并外泄本地文件，同时支持按需下载更多恶意载荷，拓展攻击链路。
在正式执行攻击任务前，后门会主动向攻击者操控服务器发送设备信标，上报设备系统版本、硬件信息、网络配置等基础情报，帮助攻击者完成目标研判与任务定制。其内置多功能指令集，覆盖网络间谍攻击全流程，支持文件读写、目录遍历、进程扫描、系统命令执行、进程强制终止、DLL加载、文件压缩打包、计划任务持久化、权限提升等核心操作。
为规避安全设备的行为检测，MiniFast具备灵活的反溯源能力，支持自定义指令轮询间隔，可通过抖动算法随机调整服务器通信频率，打破固定通信特征，大幅提升隐蔽驻留能力，难以被常规流量监测工具发现。
多方厂商同步披露，攻击野心持续扩张
Check Point威胁情报部门经理Sergey Shykevich针对本次活动表示，Nimbus Manticore的作战野心早已不局限于中东区域的定向间谍活动。该组织在地区军事冲突持续进行的关键节点，快速依托AI工具开发全新后门、迭代攻击战术，从传统职场钓鱼转型SEO投毒被动引流，攻击模式实现质的升级，作战效率大幅提升。
无独有偶，帕洛阿尔托网络Unit 42团队同期发布的专项报告，进一步佐证了该组织的攻击升级态势。报告指出，该团伙持续迭代Mini系列恶意软件，推出MiniUpdate升级版及MiniJunk V2变种，将攻击范围拓展至美国、以色列、阿联酋等多个国家，目标覆盖油气能源、航空、软件等关键行业，其中一家美国大型石油天然气企业成为重点渗透对象。
Unit 42研究团队补充道，自2026年2月地区冲突爆发后，该组织攻击频次显著激增，已在五个国家的实体网络中部署两类远控木马变种。本轮攻击的核心特征在于高度个性化社会工程学诱饵，攻击者针对不同目标企业、岗位定制虚假招聘信息、会议邀请，精准诱导员工触发感染链路，为后续深度渗透、数据窃取、内网横向移动铺路，战术借鉴了朝鲜黑客的精准社工渗透思路。
关联基础设施攻击曝光，关键基础设施风险加剧
在本轮软件、航空行业间谍攻击持续发酵的同时，伊朗关联黑客势力还发起了针对美国关键基础设施的专项攻击。近期，美国多州加油站的油罐液位变送设备遭遇网络入侵，攻击者利用大量未设置密码、公开联网的自动油罐液位检测（ATG）系统漏洞，篡改设备燃油液位显示数据。
本次攻击虽未造成设备物理损毁与人员伤亡，但暴露了欧美关键基础设施的重大安全隐患。攻击者仅篡改显示数值、不改动实际燃油存量，具备极强的隐蔽欺骗性，可能导致运维人员误判设备运行状态，引发油气泄漏漏判、设备故障误判等风险，对能源基础设施稳定运行构成潜在威胁。CNN援引知情人士消息称，此次攻击针对性强、漏洞利用精准，大概率为伊朗国家级威胁势力的配套作战行动。
威胁总结
综合多方监测数据，Nimbus Manticore组织已完成技术与战术双重升级，依托AI辅助开发大幅缩短恶意软件迭代周期，同时突破传统钓鱼局限，创新采用SEO投毒等新型投递手段，攻击覆盖范围更广、隐蔽性更强、精准度更高。冲突局势并未压制其网络作战能力，反而成为其技术迭代、战术革新的助推器。目前该组织已形成“社工钓鱼+漏洞利用+SEO投毒+AI恶意代码”的多元攻击体系，对全球航空、软件、能源等关键行业及基础设施构成持续性高危威胁。