Nimbus Manticore (UNC1549) : nouvelles techniques et backdoor MiniFast durant le conflit iranien

🌐 Contexte

Publié le 22 mai 2026 par Check Point Research, cet article documente les opérations du groupe de menace Nimbus Manticore (également suivi sous le nom UNC1549), affilié aux Gardiens de la Révolution iraniens (IRGC), durant la période de tensions militaires liées à l’Opération Epic Fury (campagne militaire américaine contre l’Iran lancée le 28 février 2026).

🎯 Acteur et ciblage

Nimbus Manticore est un acteur sophistiqué ciblant principalement les secteurs défense, aviation et télécommunications. Lors de cette campagne, les cibles incluent des organisations dans les secteurs aviation et développement logiciel en États-Unis, Europe, Moyen-Orient (Arabie Saoudite, Israël, Émirats Arabes Unis) et Australie.

📋 Trois vagues d’activité

Campagne 1 – Février 2026 (Rising Tension)

• Leurres de phishing imitant des offres d’emploi Accenture
• Introduction de l’AppDomain Hijacking via un fichier .config XML trojanisé
• Chaîne : Setup.exe (signé Microsoft) → Setup.exe.config → uevmonitor.dll (dropper) → nouvelle version MiniJunk
• Fichiers hébergés sur la plateforme OnlyOffice
• Cibles : Arabie Saoudite, Australie

Campagne 2 – Durant l’Opération Epic Fury

• Leurres imitant une compagnie aérienne américaine + installateur Zoom trojanisé (Zoominstall64.zip)
• Chaîne d’infection multi-étages avec AppDomain Hijacking à chaque étape
• Hijacking de tâche planifiée Zoom (ZoomUpdateTaskUser-<SID>) pour la persistance
• Introduction du nouveau backdoor MiniFast (UpdateChecker.dll)
• Fichiers signés numériquement via SSL.com (certificats : Gray Matter Software S.R.L. et Kirubel Kerie Negeya)
• Développement assisté par IA (LLM) : gestion d’erreurs excessive, nommage verbeux, code modulaire

Campagne 3 – Avril 2026 (Post-Cessez-le-feu)

• SEO poisoning : faux site getsqldeveloper[.]com imitant la page de téléchargement de SQL Developer
• Enregistrement de dizaines de domaines pour booster le référencement (link-based reputation)
• Keyword stuffing sur les pages malveillantes
• Payload final : backdoor MiniFast

🔬 Analyse technique – MiniFast

MiniFast est un backdoor Windows PE 64 bits (DLL) avec un export unique CheckForUpdates :

• Communication C2 via HTTP/JSON avec User-Agent Chrome hardcodé : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/146.0.0.0 Safari/537.36
• Endpoints C2 : /rg (POST), /agent/init (POST), /agent/poll?token= (GET), /agent/result (POST), /upload/ (PUT), /files/ (GET)
• Tâches encodées en Base64 avec structure opcode binaire
• Capacités : listing/déplacement/suppression de fichiers, exécution de commandes shell, énumération processus/disques, kill process, chargement DLL dynamique, élévation UAC, persistance via tâche planifiée (WindowsSecurityUpdate), exfiltration de fichiers
• Validation anti-sandbox : vérifie que le processus hôte est update.exe avec parent svchost.exe
• Persistance via tâche planifiée nommée WindowsSecurityUpdate
• Déchiffrement de chaînes à l’exécution : ROT13 + inversion de chaîne

📁 Type d’article

Il s’agit d’une publication de recherche technique produite par Check Point Research, visant à documenter les TTPs, l’outillage et les IOCs d’une campagne active d’un acteur étatique iranien dans un contexte de conflit armé.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Nimbus Manticore (state-sponsored) — orkl.eu · Malpedia

TTP

• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Persistence)
• T1574 — Hijack Execution Flow: AppDomain Hijacking (Persistence)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
• T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1132.001 — Data Encoding: Standard Encoding (Command and Control)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1082 — System Information Discovery (Discovery)
• T1057 — Process Discovery (Discovery)
• T1083 — File and Directory Discovery (Discovery)
• T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
• T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
• T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)

IOC

• Domaines : business-startup.org — VT · URLhaus · ThreatFox
• Domaines : business-startup.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : businessstartup.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : buisness-centeral.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : buisness-centeral-transportation.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : buisness-centeral-transportation.com — VT · URLhaus · ThreatFox
• Domaines : licencemanagers.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : licencesupporting.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : peerdistsvcmanagers.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : nanomatrix.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : PremierHealthAdvisory.com — VT · URLhaus · ThreatFox
• Domaines : PremierHealthAdvisory.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : Premier-HealthAdvisory.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : ramiltonsfinance.com — VT · URLhaus · ThreatFox
• Domaines : ramiltonsfinance.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : ramiltons-finance.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : globalitconsultants.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : globalit-consultants.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : global-it-consultants.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : global-it-checkers.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : global-it-checkbusiness.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : global-check-itbusiness.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : global-check-business-it.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : globalbusiness-checkers-it.azurewebsites.net — VT · URLhaus · ThreatFox
• Domaines : getsqldeveloper.com — VT · URLhaus · ThreatFox
• SHA256 : 10fd541674adadfbba99b54280f7e59732746faf2b10ce68521866f737f1e46d — VT · MalwareBazaar
• SHA256 : eee657ffdb2af8ed6412221e7d5fbf4f5742f2ac2c88f43f12db46af0697de71 — VT · MalwareBazaar
• SHA256 : 781605ce9d4a9869e846f6c9657d71437cb6240ab27ffbc4cd550c0e06996690 — VT · MalwareBazaar
• SHA256 : 2c214494fd0bad31473ca8adce78a4f50847876584571e66aadeae70827ec2dc — VT · MalwareBazaar
• SHA256 : f08b17856616d66492a24dced27f788e235f35f42fa7cd10f315000d3a2f4c03 — VT · MalwareBazaar
• SHA256 : a57ffb819fe8d98ff925c5d7b239598fe302acf5a13193d7a535040a71298fdf — VT · MalwareBazaar
• SHA256 : 63d0d3c4a7f71bdbca720903d6a99b832089cc093c64d2938e7e001e56c17ab4 — VT · MalwareBazaar
• SHA256 : 74882085db2088356ed7f72f01e0404a0a98cda88ef56fb15ce74c1f36b26d27 — VT · MalwareBazaar
• SHA256 : bc3b44154518c5794ce639108e7b9c5fecb0c189607a26de1aaed518d890c7ad — VT · MalwareBazaar
• SHA256 : ecaf493c320d201d285ef5f61d75744216e47cf1115b4af528f9a78883cc446e — VT · MalwareBazaar
• SHA256 : 44f4f7aca7f1d9bfdaf7b3736934cbe19f851a707662f8f0b0c49b383e054250 — VT · MalwareBazaar
• SHA256 : 0db36a04d304ad96f9e6f97b531934594cd95a5cea9ff2c9af249201089dc864 — VT · MalwareBazaar
• SHA256 : 485f182f7b74ea4013b2539275a95d21e3a9bf0082c331937af9353a324b36f3 — VT · MalwareBazaar
• SHA256 : 64530d7e6ee30e4a66d9eeed6b8595c33fd72f5f73409133ca40539e5695df4c — VT · MalwareBazaar
• SHA256 : 332ba2f0297dfb1599adecc3e9067893e7cf243aa23aedce4906ca4c4a805740 — VT · MalwareBazaar
• SHA256 : 9e4a658e6d831c9e9bdfe11884a75b7c64812ed0a80e8495ddf6b316505acac1 — VT · MalwareBazaar
• SHA256 : 43dc62cef52ebdd69e79f10015b3e13890f26c058325c0ff139c70f8d8eadcfa — VT · MalwareBazaar
• SHA256 : 8808c794c243674384f183e4be94187f6f1d3ecd0c8db2eb43b10d238084d1d2 — VT · MalwareBazaar
• SHA256 : 5c3362d202295c97dd11380f56d1fe2eba3e9647fb6afaed7be8392a7abcd1f8 — VT · MalwareBazaar
• SHA256 : 0291ef318576953f7f3fe287e7775ed1d7c3206119dc7b9cd6d85c02779e6e40 — VT · MalwareBazaar
• SHA256 : d4a7e9f107fe40c1a5d0139c6c6e25bf6bf57f61feff090bee28f476bb3cc3c2 — VT · MalwareBazaar
• SHA256 : 38bd137c672bd58d08c4f0502f993a6561e2c3411773d1ae57ee0151a0a9d11d — VT · MalwareBazaar
• SHA256 : f54cd38632ac9da3af3533ae93e92625cbcb04df521dbf1b6acfaa81218f9e8c — VT · MalwareBazaar
• SHA256 : b19e06da580cf91691eda066ac9ee4b09c6e5dc26c367af12660fe1f9306eec4 — VT · MalwareBazaar
• SHA256 : 9cf029daca89523d917dafed0568d11d00e45ec96b5b90b4a1f7fd4018c7da84 — VT · MalwareBazaar
• SHA256 : a13ba3c5aff46e9daf2d23df4b3e3d49dc7236c207c56f0a1433051f3450d441 — VT · MalwareBazaar
• SHA256 : dfa1e3137a032ee8561a1cd5e1a0f71a10bebb36aef7c336c878638a9c1239ee — VT · MalwareBazaar
• Fichiers : Setup.exe
• Fichiers : Setup.exe.config
• Fichiers : uevmonitor.dll
• Fichiers : Interop.TaskScheduler.dll
• Fichiers : Zoominstall64.zip
• Fichiers : InitInstall.dll
• Fichiers : Zoom_cm.exe
• Fichiers : UpdateConfig.xml
• Fichiers : Updater.dll
• Fichiers : UpdateChecker.dll
• Chemins : C:\Users\<USER>\AppData\Local\Packages\
• Chemins : C:\Users\<USER>\AppData\Local\Zoom\bin\update

Malware / Outils

• MiniFast (backdoor)
• MiniJunk (backdoor)
• uevmonitor.dll (loader)
• InitInstall.dll (loader)
• Updater.dll (loader)

🟢 Indice de vérification factuelle : 95/100 (haute)

• ✅ research.checkpoint.com — source reconnue (liste interne) (20pts)
• ✅ 26776 chars — texte complet (fulltext extrait) (15pts)
• ✅ 64 IOCs dont des hashes (15pts)
• ✅ 5/6 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 19 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Nimbus Manticore (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• eee657ffdb2af8ed… (sha256) → VT (12/76 détections)
• 781605ce9d4a9869… (sha256) → VT (9/76 détections)
• business-startup.org (domain) → VT (17/91 détections)
• business-startup.azurewebsites.net (domain) → VT (9/91 détections)
• businessstartup.azurewebsites.net (domain) → VT (8/91 détections)

🔗 Source originale : https://research.checkpoint.com/2026/fast-and-furious-nimbus-manticore-operations-during-the-iranian-conflict/