Um grupo APT iraniano passou a usar envenenamento de SEO para distribuir um instalador falso do Oracle SQL Developer e infectar máquinas Windows com uma nova backdoor.
A campanha foi atribuída ao Nimbus Manticore, também rastreado como UNC1549, ligado ao Corpo da Guarda Revolucionária Islâmica do Irã.
A atividade foi identificada em três ondas entre fevereiro e abril de 2026. A mais recente, chamada de campanha “SQL Developer”, marcou uma mudança no modo de operação do grupo, que historicamente usava phishing direcionado com falsas ofertas de emprego contra profissionais de aviação e software.
Em vez de abordar vítimas diretamente por e-mail, os operadores criaram um site falso que imitava uma página legítima de download do SQL Developer. O domínio getsqldeveloper[.]com foi impulsionado por dezenas de outros domínios, usados para melhorar seu posicionamento em buscadores.
A página também repetia termos como “Download SQL Developer” para aparecer melhor em resultados de pesquisa. No momento da análise, o domínio fraudulento aparecia entre os primeiros resultados no Bing e no DuckDuckGo para buscas relacionadas à ferramenta.
Pesquisadores da Check Point também observaram indícios de desenvolvimento assistido por IA no malware, como excesso de tratamento de erros, nomes de funções muito descritivos e mensagens detalhadas de depuração.
A hipótese é que o grupo esteja usando modelos de linguagem para acelerar a criação e atualização de ferramentas.
