Iraniečių grupuotė perrašė žaidimo taisykles: dabar jūsų ieško ne tik laiškuose, bet ir Google paieškoje

Jei esate įpratę, kad fišingo laiškai su darbo pasiūlymais atkeliauja tik iš Šiaurės Korėjos programišių, metas atnaujinti žinias. Irano valstybinė programišių grupuotė „Nimbus Manticore" ką tik pademonstravo, kad karjeros temos masalas veikia ne prasčiau — o prie jo dabar prisidėjo ir SEO užnuodyti atsisiuntimai bei dviejų naujų įrankių komplektas, dalis kurio, tikėtina, sugeneruota dirbtinio intelekto.

„Check Point" tyrėjai praėjusią savaitę paskelbė analizę, atskleidžiančią, kad su Irano Islamo revoliucijos gvardijos korpusu (IRGC) siejama grupuotė nuo 2026 metų vasario pabaigos — po bendros JAV ir Izraelio karinės kampanijos prieš Iraną — perėjo prie naujos taktikos. Vietoj vien tik el. laiškų su netikromis darbo galimybėmis, dabar naudojamas ir SEO poisoning: paieškos sistemose sukuriamos kenkėjiškos svetainės, kurios atrodo kaip legalios programinės įrangos atsisiuntimo puslapiai.

Pirmoji banga, užfiksuota vasarį, taikėsi į aviacijos ir programinės įrangos sektorių darbuotojus Saudo Arabijoje ir Australijoje. Aukoms buvo siunčiami laiškai su nuoroda į ZIP archyvą, talpinamą „OnlyOffice". Paleidus neva nekaltą vykdomąjį failą, suveikdavo technika, vadinama AppDomain hijacking — ji leisdavo įkrauti kenkėjišką DLL, pavadintą „MiniJunk".

Kovo mėnesį taktika patobulėjo. Vietoj ZIP archyvo programišiai naudojo trojanizuotą „Zoom" diegimo programą. Vėlgi, paleidus failą, buvo aktyvuojamas AppDomain hijacking mechanizmas, tačiau šįkart diegiamas jau naujas įrankis — „MiniFast" (dar žinomas kaip „MiniUpdate").

„MiniFast" yra įdomus atvejis ne tik dėl savo funkcionalumo, bet ir dėl to, kaip jis atrodo iš vidaus. „Check Point" tyrėjai pastebėjo požymių, kad kodas buvo rašomas su DI pagalba: perteklinis klaidų apdorojimas, gynybinio programavimo logika, pasikartojantys funkcijų pavadinimai su aprašomaisiais identifikatoriais, detalūs derinimo pranešimai ir modulinė kodo struktūra, nepaisant bendro kenkėjiško kodo paprastumo.

Tai pirmas kartas, kai „Nimbus Manticore" buvo pastebėta naudojant SEO poisoning metodą. Balandį tyrėjai aptiko padirbtą svetainę, kuri atrodė kaip oficialus „Oracle SQL Developer" atsisiuntimo puslapis. Lankytojai, patekę į ją per paieškos rezultatus, atsisiųsdavo ginkluotą diegimo programą su „MiniFast".

Tai, kad Irano grupuotė perėjo prie SEO poisoning, yra reikšminga. Anksčiau jos veikla rėmėsi beveik išimtinai tiksliniais fišingo laiškais. Dabar prieinama prie metodo, kuris yra mažiau tikslus, tačiau leidžia pasiekti daug platesnę auditoriją — nuo programuotojų, ieškančių SQL įrankių, iki eilinių vartotojų.

Šis taktikos išplėtimas sutampa su geopolitiniais įvykiais. Po vasario mėnesio kampanijos prieš Iraną, grupuotės aktyvumas ne tik nesumažėjo — jis įgavo naujų formų. Aviacijos ir programinės įrangos sektoriai JAV, Europoje ir Viduriniuose Rytuose lieka pagrindiniais taikiniais.

„Nimbus Manticore" nėra naujokė kibernetinio šnipinėjimo arenoje. Dar žinoma kaip „Screening Serpens" ir UNC1549, ji ilgą laiką specializavosi gynybos, aviacijos ir telekomunikacijų sektorių atakose, naudodama karjeros tematikos fišingo laiškus. Operacija netgi gavo pavadinimą „Iranian Dream Job" — aliuzija į Šiaurės Korėjos „Operation Dream Job", su kuria taktika turi daug bendro.

Visgi naujausia evoliucija rodo, kad grupuotė investuoja į įrankių diversifikaciją. Kai turi ir „MiniJunk" (vasario versija), ir „MiniFast" (kovo–balandžio versija), ir du skirtingus pristatymo kanalus (fišingo laiškai bei SEO poisoning), atsparumą prarasti vieną kanalą tampa gerokai didesniu. Jei fišingo kampanija užblokuojama, SEO poisoning veikia toliau — ir atvirkščiai.

Dar vienas dėmesio vertas aspektas yra pats DI naudojimas kenkėjiško kodo rašymui. Nors kibernetinio saugumo bendruomenė ilgai diskutavo, ar DI tikrai padeda programišiams rašyti geresnį kodą, „MiniFast" atvejis rodo, kad bent jau kodo struktūra keičiasi — atsiranda perteklinės apsaugos, detalesni klaidų pranešimai, moduliškesnė architektūra. Tai nereiškia, kad kenkėjiškas kodas tampa nepastebimas, tačiau jis tampa profesionaliau atrodantis ir sunkiau analizuojamas rankiniu būdu.

Lietuvos kontekste Irano kibernetinės grupuotės nėra dažniausiai matomas priešininkas, tačiau Europos aviacijos ir gynybos sektorių įmonės — įskaitant ir tas, su kuriomis bendradarbiauja Lietuvos organizacijos — yra šios grupuotės taikinių sąraše. O SEO poisoning metodas yra ypač klastingas tuo, kad auka pati ateina pas užpuoliką, manydama, jog atsisiunčia teisėtą įrankį. Užtenka vienos sekundės neatidumo Google paieškoje, kad jūsų organizacijos tinklas taptų dar vienu tašku Irano kibernetinio šnipinėjimo žemėlapyje.