كشفت تقارير أمنية حديثة عن حملة تجسّس إلكتروني واسعة النطاق مرتبطة بجهة تهديد إيرانية مدعومة من الدولة تُعرف باسم Nimbus Manticore (المعروفة أيضاً بـ Screening Serpens وUNC1549)، حيث استهدفت قطاعات الطيران والبرمجيات في الولايات المتحدة وأوروبا والشرق الأوسط عقب الحملة العسكرية المشتركة الأميركية-الإسرائيلية ضد إيران في فبراير 2026.
الحملة تميّزت باستخدام تقنيات غير موثقة سابقاً، وتطوير قدرات جديدة، أبرزها نشر باب خلفي جديد يُعرف باسم MiniFast (أو MiniUpdate)، والذي يُعتقد أنه بُني بمساعدة أدوات الذكاء الاصطناعي، إلى جانب نسخة مطوّرة من MiniJunk V2.
أساليب التصيّد واختراق الموظفين
اعتمدت الحملة على إغراءات وظيفية مزيفة تستهدف موظفين في قطاعات حساسة مثل الطيران والبرمجيات، حيث تلقى الضحايا عروض عمل وهمية أو دعوات لاجتماعات عبر منصات الفيديو. هذه الملفات كانت تحتوي على مثبتات مزيفة مثل نسخة معدلة من Zoom أو أرشيفات ZIP عبر OnlyOffice، لتفعيل تقنية AppDomain Hijacking التي تُطلق DLL خبيث مثل MiniJunk أو MiniFast.
هذا الأسلوب يعكس تشابهاً تكتيكياً مع حملات “وظيفة الأحلام” الكورية الشمالية، حيث يتم استغلال الطموحات المهنية كمدخل للهجوم.
دور الذكاء الاصطناعي في تطوير MiniFast
تحليل شركة Check Point أظهر أن MiniFast يحمل بصمات برمجية مرتبطة باستخدام أدوات الذكاء الاصطناعي، مثل الإفراط في التعامل مع الأخطاء، تنظيم معياري للكود، أسماء وظائف مطوّلة ووصفية، ورسائل تصحيحية مفصلة. هذه السمات تدل على أن المهاجمين استخدموا الذكاء الاصطناعي لتسريع تطوير البرمجيات الخبيثة، ما مكّنهم من نشر باب خلفي جديد في منتصف الصراع دون توقف العمليات.
سمّية SEO وتوزيع البرمجيات الخبيثة
في أبريل 2026، لجأ المهاجمون إلى أسلوب جديد عبر تسميم محركات البحث (SEO Poisoning)، حيث أنشأوا موقعاً مزيفاً باسم “getsqldeveloper[.]com” يوهم المستخدمين بأنه صفحة تحميل رسمية لأداة Oracle SQL Developer. عبر تسجيل عشرات النطاقات المرتبطة بالموقع، رفعوا ترتيبه في محركات البحث مثل Bing وDuckDuckGo، ليتمكنوا من خداع المطورين الباحثين عن البرنامج وتحميل نسخة مُسلّحة من MiniFast.
هذا الأسلوب يُعتبر نقلة نوعية في تكتيكات المجموعة، حيث لم يعتمد على التصيّد التقليدي بل على استغلال ثقة المستخدم في نتائج البحث.
قدرات MiniFast وMiniJunk V2
يُوصف MiniFast بأنه باب خلفي كامل الوظائف، قادر على تنفيذ أوامر عن بُعد، رفع نتائج التنفيذ، سرقة الملفات، تحميل حمولة إضافية، وإنشاء مهام مجدولة لتحقيق الاستمرارية. كما يدعم أوامر متنوعة مثل إدارة الملفات، إنهاء العمليات، تحميل DLL، إنشاء أرشيفات ZIP، ورفع الامتيازات عبر أمر “runas”.
أما MiniJunk V2 فقد ظهر في حملات فبراير ومارس 2026، مؤكداً أن المهاجمين يطوّرون نسخاً جديدة من أدواتهم بشكل متواصل.
الأهداف والانعكاسات الأمنية
استهدفت الحملة كيانات في الولايات المتحدة، إسرائيل، الإمارات، والسعودية، بما في ذلك شركات نفط وغاز أميركية. كما رُصدت هجمات على أنظمة قياس الوقود في محطات بنزين أميركية، ما أثار مخاوف تتعلق بالبنية التحتية الحيوية رغم عدم حدوث أضرار مباشرة.
هذه التطورات تؤكد أن المهاجمين الإيرانيين يستلهمون من تكتيكات كوريا الشمالية، ويستغلون الذكاء الاصطناعي لتسريع تطوير أدوات التجسس، مع تنويع أساليب التوزيع بين التصيّد وسمّية SEO.
