DM Digital Monster Standard Pages
Digital Monster // fiche publique

Fiche de synthèse — Nimbus Manticore : MiniFast / MiniUpdate et MiniJunk V2

#36 · fiches cybersec créée 26 mai 2026 source fiches cybersec/fiche_nimbus_manticore_minifast_minijunkv2.md

Article source : The Hacker News — Iranian Hackers Deploy MiniFast and MiniJunk V2 via Phishing and SEO Poisoning Date de publication : 26 mai 2026 Sujet : campagne d'espionnage attribuée à un acteur iranien lié à l'IRG…

← Retour aux fiches Veille

Article source : The Hacker News — Iranian Hackers Deploy MiniFast and MiniJunk V2 via Phishing and SEO Poisoning
Date de publication : 26 mai 2026
Sujet : campagne d'espionnage attribuée à un acteur iranien lié à l'IRGC, suivi comme Nimbus Manticore, Screening Serpens ou UNC1549.
Sources techniques complémentaires : Check Point Research, Palo Alto Networks Unit 42.

1. Résumé exécutif

L'article décrit une série de campagnes menées entre février et avril 2026 par Nimbus Manticore, un groupe APT aligné sur les intérêts iraniens. Le groupe cible notamment les secteurs aviation, logiciel, défense, télécommunications, et plus largement des organisations en Europe, aux États-Unis, au Moyen-Orient, en Israël, aux Émirats arabes unis, en Arabie saoudite et en Australie.

La campagne marque une évolution notable :

  • utilisation de leurres de recrutement très personnalisés ;
  • utilisation de faux liens ou faux installateurs de visioconférence ;
  • abus de la technique AppDomain hijacking pour charger des DLL malveillantes via des exécutables légitimes ;
  • déploiement de MiniJunk V2 puis de MiniFast, aussi suivi par Unit 42 sous le nom MiniUpdate ;
  • apparition d'une méthode nouvelle pour cet acteur : le SEO poisoning, avec un faux site de téléchargement pour Oracle SQL Developer ;
  • indices d'un développement de malware assisté par IA : code très structuré, noms de fonctions verbeux, gestion d'erreurs excessive, nombreux messages de debug.

En clair : l'acteur combine de l'ingénierie sociale ciblée avec des chaînes d'exécution discrètes et des backdoors capables de maintenir un accès distant durable.

2. Acteur de menace

Élément Détail
Nom principal Nimbus Manticore
Autres noms Screening Serpens, UNC1549
Attribution Acteur iranien, affilié ou aligné IRGC selon Check Point
Objectif probable Cyberespionnage
Cibles habituelles Défense, aviation, télécommunications, logiciel
Méthode historique Phishing à thème recrutement, parfois appelé “Iranian Dream Job”

L'approche rappelle certaines campagnes nord-coréennes de type Operation Dream Job : l'attaquant attire des employés qualifiés avec de fausses opportunités professionnelles afin de leur faire ouvrir des archives ou installer de faux outils.

3. Chronologie simplifiée

Février 2026 — campagne “Rising Tension”

  • Cibles : employés des secteurs logiciel et aviation, notamment en Arabie saoudite et en Australie.
  • Leurres : fausses opportunités de carrière.
  • Livraison : archive ZIP hébergée sur OnlyOffice.
  • Technique : AppDomain hijacking.
  • Payload : loader puis MiniJunk V2.

Mars 2026 — campagne avec faux Zoom

  • Cibles : organisations liées notamment à l'aviation et à des entités en Israël / États-Unis selon les analyses croisées.
  • Leurres : fausses invitations de réunion ou fausse installation Zoom.
  • Livraison : archive Zoominstall64.zip.
  • Technique : AppDomain hijacking en plusieurs étapes.
  • Payload final : MiniFast / MiniUpdate, DLL nommée notamment UpdateChecker.dll.

Avril 2026 — campagne “SQL Developer” par SEO poisoning

  • Méthode : création d'un faux site de téléchargement getsqldeveloper[.]com.
  • Objectif : apparaître dans les résultats Bing et DuckDuckGo pour des recherches comme “sql developer”.
  • Cible implicite : développeurs, administrateurs, profils techniques cherchant un outil légitime.
  • Payload : installateur piégé livrant MiniFast.

4. Technique clé : AppDomain hijacking

Principe : un programme .NET légitime peut charger une configuration .config au démarrage. Si un attaquant place un fichier de configuration nommé comme l'exécutable, il peut forcer le runtime .NET à charger une classe AppDomainManager contrôlée par l'attaquant, située dans une DLL malveillante.

Exemple conceptuel :

Setup.exe
Setup.exe.config  -> pointe vers une DLL malveillante
uevmonitor.dll    -> loader / dropper

Pourquoi c'est efficace :

  • l'exécutable lancé peut être légitime et signé ;
  • l'utilisateur pense ouvrir un installateur normal ;
  • l'exécution malveillante se fait dans le contexte d'un processus de confiance ;
  • la création d'un nouveau binaire suspect est moins visible.

5. Chaîne d'attaque type

1. Leurre ciblé
   └─ fausse offre d'emploi, fausse réunion, faux site de téléchargement

2. Téléchargement d'une archive ou d'un installateur
   └─ ZIP, faux setup Zoom, faux SQL Developer

3. Exécution d'un binaire légitime
   └─ Setup.exe ou Update.exe

4. Chargement détourné via .config
   └─ AppDomain hijacking

5. Loader initial
   └─ InitInstall.dll, uevmonitor.dll, Updater.dll selon la campagne

6. Déploiement du payload final
   └─ MiniJunk V2 ou MiniFast / MiniUpdate

7. Persistance et C2
   └─ tâche planifiée, communication HTTP, polling, commandes distantes

6. MiniFast / MiniUpdate : fonctionnement

MiniFast est une backdoor Windows 64 bits sous forme de DLL. Elle expose une fonction d'entrée nommée CheckForUpdates, ce qui lui permet de se camoufler dans une logique d'outil de mise à jour.

Capacités principales

  • reconnaissance basique de l'hôte : nom machine, domaine, utilisateur, privilèges ;
  • enregistrement auprès du C2 ;
  • récupération de tâches ;
  • exécution de commandes via cmd.exe;
  • listage de répertoires ;
  • gestion de fichiers : déplacement, suppression, création de dossiers ;
  • upload et download de fichiers ;
  • exfiltration de fichiers ;
  • énumération des processus ;
  • terminaison de processus par PID ;
  • chargement dynamique de DLL ;
  • création d'archives ZIP ;
  • tentative d'élévation via runas ;
  • installation de persistance par tâche planifiée ;
  • modification dynamique de l'intervalle de beaconing et du jitter.

Communication C2

MiniFast utilise une communication HTTP structurée avec des endpoints de type API :

Endpoint Méthode Rôle
/rg POST handshake initial
/agent/init POST enregistrement de la victime
/agent/poll?token= GET récupération des tâches
/agent/result POST remontée des résultats
/upload/ PUT exfiltration de fichiers
/files/ GET téléchargement de fichiers depuis le C2

Le malware imite aussi un navigateur Chrome via un User-Agent codé en dur afin de banaliser son trafic HTTP.

7. MiniJunk V2

MiniJunk V2 est présenté comme une évolution d'une famille déjà connue dans l'écosystème Nimbus Manticore. Dans les campagnes récentes, il est déployé après des leurres de recrutement, avec des chaînes d'exécution combinant ZIP, binaire signé, fichier .config et DLL malveillante.

Unit 42 distingue deux familles dans les échantillons récents :

  • MiniUpdate, correspondant globalement à MiniFast dans l'analyse Check Point ;
  • MiniJunk V2, évolution du framework MiniJunk déjà suivi auparavant.

8. Usage probable de l'IA

Check Point relève plusieurs indices compatibles avec un développement assisté par IA :

  • gestion d'erreurs très abondante, même autour d'appels API simples ;
  • noms de fonctions descriptifs et répétitifs ;
  • messages de debug et d'état détaillés ;
  • code modulaire malgré une logique relativement simple ;
  • capacité à produire rapidement une nouvelle backdoor pendant une période d'opérations actives.

À retenir : l'article ne prouve pas mathématiquement qu'une IA a écrit le malware. Il parle d'indices de développement assisté, pas d'une attribution certaine à un modèle ou un outil précis.

9. Points de détection défensive

Sur le poste

Surveiller :

  • exécution de Setup.exe ou Update.exe depuis des chemins utilisateurs ou archives extraites ;
  • présence de fichiers .exe.config associés à des binaires inhabituels ;
  • DLL suspectes à côté d'exécutables signés ;
  • chemins tels que :
    • C:\Users\<USER>\AppData\Local\Packages\
    • C:\Users\<USER>\AppData\Local\Zoom\bin\update\
  • tâche planifiée ZoomUpdateTaskUser-<SID> modifiée ;
  • tâche planifiée WindowsSecurityUpdate ;
  • cmd.exe /c lancé par un processus de mise à jour inattendu ;
  • runas appelé depuis une chaîne d'installation ou d'update suspecte.

Sur le réseau

Surveiller :

  • connexions HTTP sortantes vers des domaines récemment créés ;
  • endpoints de type /rg, /agent/init, /agent/poll?token=, /agent/result, /upload/, /files/ ;
  • User-Agent Chrome incohérent avec le processus émetteur ;
  • trafic vers domaines Azure atypiques ;
  • téléchargements depuis sites de logiciels non officiels ;
  • consultation du domaine getsqldeveloper[.]com ou variantes liées.

10. Indicateurs et artefacts notables

Domaines mentionnés

  • getsqldeveloper[.]com
  • business-startup[.]org
  • business-startup.azurewebsites[.]net
  • businessstartup.azurewebsites[.]net
  • buisness-centeral.azurewebsites[.]net
  • buisness-centeral-transportation.azurewebsites[.]net
  • buisness-centeral-transportation[.]com
  • licencemanagers.azurewebsites[.]net
  • licencesupporting.azurewebsites[.]net
  • peerdistsvcmanagers.azurewebsites[.]net
  • nanomatrix.azurewebsites[.]net
  • PremierHealthAdvisory[.]com
  • ramiltonsfinance[.]com
  • globalitconsultants.azurewebsites[.]net

Noms de fichiers / composants

  • Setup.exe
  • Setup.exe.config
  • uevmonitor.dll
  • InitInstall.dll
  • Updater.dll
  • UpdateChecker.dll
  • Zoominstall64.zip
  • Zoom_cm.exe
  • UpdateConfig.xml
  • Hiring Portal.zip

Hashes SHA-256 cités dans les rapports

Quelques exemples importants :

44f4f7aca7f1d9bfdaf7b3736934cbe19f851a707662f8f0b0c49b383e054250 - Initial archive file
332ba2f0297dfb1599adecc3e9067893e7cf243aa23aedce4906a4c480574c17 - Hiring Portal.zip
0db36a04d304ad96f9e6f97b531934594cd95a5cea9ff2c9af249201089dc864 - UpdateChecker.dll
38bd137c672bd58d08c4f0502f993a6561e2c3411773d1ae57ee0151a0a9d11d - Initial archive file
d4a7e9f107fe40c1a5d0139c6c6e25bf6bf57f61feff090bee28f476bb3cc3c2 - UpdateChecker.dll
bc3b44154518c5794ce639108e7b9c5fecb0c189607a26de1aaed518d890c7ad - UpdateChecker.dll
9cf029daca89523d917dafed0568d11d00e45ec96b5b90b4a1f7fd4018c7da84 - uevmonitor.dll
8808c794c24367438f183e4be941876f1d3ecd0c8d2eb43b10d2380841d2283b - Portable Platform.zip
43dc62cef52ebdd69e79f10015b3e13890f26c058325c0ff139c70f8d8eadcfa - Connection.dll
9e4a658e6d831c9e9bdfe11884a75b7c64812ed0a80e8495ddf6b316505acac1 - unbcl.dll

11. Mesures de protection concrètes

Mesure 1 — Contrôler les chaînes d'installation

  • Bloquer ou alerter sur les binaires exécutés depuis des archives extraites en espace utilisateur.
  • Détecter les couples inhabituels executable + executable.config.
  • Restreindre l'exécution depuis %AppData%, %LocalAppData%, Downloads, Temp.

Limite : certains logiciels légitimes utilisent aussi des fichiers .config. Le filtrage doit combiner chemin, signature, parent process, réputation et comportement.

Mesure 2 — Durcir les postes développeurs et profils techniques

  • Télécharger les outils uniquement depuis les domaines éditeurs officiels.
  • Interdire les installateurs trouvés via publicité, SEO ou miroir non validé.
  • Contrôler les archives ZIP contenant plusieurs DLL et fichiers .config.
  • Surveiller les faux portails de recrutement et faux liens de réunion.

Limite : le spearphishing personnalisé reste efficace si la victime attend réellement un entretien ou un échange professionnel.

Mesure 3 — Détection réseau C2

  • Corréler User-Agent, processus source et destination.
  • Détecter des chemins HTTP atypiques comme /agent/poll?token=.
  • Surveiller les domaines Azure récemment créés ou faiblement réputés.
  • Inspecter les communications périodiques avec jitter.

Limite : le trafic HTTP peut se fondre dans le bruit si l'organisation manque de visibilité endpoint + proxy.

12. Lecture critique

L'article est solide car il s'appuie sur Check Point et Unit 42, mais il faut distinguer :

  • les faits observés : fichiers, chaînes d'attaque, domaines, endpoints, comportements ;
  • les attributions : acteur iranien / IRGC, qui reposent sur corrélations et renseignement ;
  • l'usage de l'IA : probable ou indicatif, mais pas prouvé de manière absolue.

Le risque principal serait de surinterpréter l'aspect “IA”. Le vrai changement opérationnel est surtout la vitesse d'adaptation : l'acteur passe rapidement d'une chaîne phishing classique à un faux installateur Zoom, puis à une campagne SEO poisoning ciblant les développeurs.

13. Synthèse opérationnelle

À retenir : Nimbus Manticore accélère son cycle d'attaque. Le groupe ne dépend plus uniquement du spearphishing à thème recrutement ; il ajoute des vecteurs plus opportunistes comme le SEO poisoning. La chaîne technique reste discrète : binaire légitime, configuration .config, chargement de DLL, tâche planifiée, C2 HTTP.

La voie défensive la plus robuste consiste à combiner :

  1. contrôle des téléchargements et des installateurs ;
  2. détection des usages suspects d'AppDomain hijacking ;
  3. surveillance des tâches planifiées modifiées ;
  4. corrélation endpoint / réseau ;
  5. sensibilisation ciblée des profils aviation, défense, logiciel et télécom.

14. Sources