Um grupo de espionagem vinculado ao Irã tem conduzido uma nova campanha cibernética direcionada a empresas da Europa que operam em setores estratégicos como defesa, aviação e telecomunicações. A operação foi atribuída ao grupo conhecido como Nimbus Manticore, também rastreado como UNC1549, e marca uma expansão significativa de sua atuação, que antes se concentrava principalmente no Oriente Médio.
De acordo com a Check Point, os ataques utilizam um conjunto de malwares recém-identificados chamados MiniJunk e MiniBrowse. O primeiro funciona como um backdoor furtivo que garante persistência nos sistemas invadidos, com capacidade para baixar arquivos, executar comandos e se comunicar com servidores remotos de comando e controle. O segundo atua como infostealer, especializado na extração de dados armazenados em navegadores como Chrome e Edge. A cadeia de infecção começa com e-mails de spear phishing que simulam ofertas de emprego. Esses e-mails redirecionam as vítimas para páginas maliciosas, de onde são baixados arquivos compactados contendo os malwares.
A técnica empregada pelos invasores envolve múltiplas etapas de carregamento lateral e uso de bibliotecas assinadas para dificultar a detecção por soluções de segurança. Entre os países europeus afetados estão Portugal, Suécia e Dinamarca. Os pesquisadores também observaram que o malware utiliza diversos mecanismos de ofuscação, como inserção de código inútil e criptografia de strings, além de tráfego HTTPS legítimo para comunicação com os servidores dos atacantes. A campanha evidencia a sofisticação crescente de grupos patrocinados por estados, que utilizam ferramentas avançadas para comprometer alvos altamente específicos.
