Iraanse hackers gebruiken nep-lokmiddelen om kritieke Europese industrieën te plunderen
Een groep Iraanse hackers, bekend als Nimbus Manticore, breidt haar activiteiten uit en richt zich nu op grote bedrijven in heel Europa. Volgens nieuw onderzoek van cybersecuritybedrijf Check Point Research (CPR) richt de groep zich op bedrijven in de defensie-, telecommunicatie- en lucht- en ruimtevaartsector om gevoelige informatie te stelen.
Nimbus Manticore, ook wel UNC1549 of Smoke Sandstorm genoemd, wordt sinds begin 2025 actief gevolgd en voerde eerder de Iraanse Dream Job-campagne uit. Deze campagnes sluiten aan bij de strategische inlichtingenvergaring van de Iraanse IRGC, vooral in tijden van verhoogde geopolitieke spanningen.
De aanval begint met een valse e-mailuitnodiging voor een sollicitatie. Deze e-mail, die er heel echt uitziet, stuurt slachtoffers door naar een frauduleuze website die is gebouwd met een React-sjabloon dat bekende bedrijven zoals Boeing , Airbus en flydubai nabootst.
Om het legitiem te laten lijken, krijgt elke persoon een unieke login en wachtwoord om toegang te krijgen tot de site. Deze websites met een 'carrière'-thema zijn geregistreerd achter Cloudflare om de werkelijke locatie van de server te verbergen. Eenmaal ingelogd, worden slachtoffers ertoe verleid een schadelijk bestand te downloaden. Dit bestand start vervolgens een complexe reeks gebeurtenissen om hun computer te infecteren.
Zoals te zien is in het onderzoeksstroomdiagram van de CPR, bevat het gedownloade bestand, een gecomprimeerd ZIP-archief, een legitiem ogend programma ( setup.exe ). Dit programma installeert en draait vervolgens in het geheim andere schadelijke bestanden, waaronder een backdoor, om de controle over het systeem over te nemen en te communiceren met de servers van de aanvallers.
In het gedownloade bestand plaatsen de hackers speciale malware, een geëvolueerde variant van de oudere malware Minibike (ook bekend als SlugResin). Recente activiteiten tonen een "aanzienlijke sprong in verfijning" met een nieuwe variant, MiniJunk, wat de inspanningen van de groep om detectie te omzeilen illustreert. Een andere tool, MiniBrowse, is ontworpen om belangrijke gegevens, zoals wachtwoorden, onopgemerkt te stelen.
Hoewel Nimbus Manticore zich in het verleden consequent op het Midden-Oosten richtte, met name Israël en de VAE, is de nieuwe focus op Europa een belangrijke ontwikkeling. Onderzoekers merkten op dat de groep actief is geweest in landen als Denemarken, Zweden en Portugal.
Het rapport merkt ook op dat er een parallelle, eenvoudigere campagne gaande is, waarbij aanvallers zich voordoen als HR-recruiters en waarschijnlijk contact opnemen met slachtoffers via platforms zoals LinkedIn voordat ze het gesprek naar e-mail verplaatsen. Deze aparte cluster van activiteiten, eerder gemeld door een ander bedrijf, PRODAFT, maakt ook gebruik van spearphishing met een minder complexe set tools, maar met hetzelfde doel: toegang stelen.
Check Point Research blijft de activiteiten van de groep volgen, maar het bedrijf stelt dat bedrijven vanaf het begin beschermd moeten zijn tegen dit soort aanvallen, nog voordat de valse e-mails of schadelijke bestanden werknemers kunnen bereiken.
HackRead
