伊朗APTNimbusManticore(又名UNC1549)杀疯了!借美伊战争掩护,用AI写病毒、造假Zoom、篡改搜索结果,专盯航空/软件大厂

admin 2026-07-14 04:45:59 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 伊朗APT组织NimbusManticore借地缘冲突掩护,针对航空与软件企业发起攻击。手法涵盖招聘钓鱼、伪造Zoom安装包劫持定时任务及SEO投毒诱导下载带毒工具。核心后门MiniFast呈现显著AI生成代码特征,具备强隐蔽与快速迭代能力。建议企业拦截非官方安装包、屏蔽投毒域名并监控异常进程加载,个人需严格校验软件签名与下载域名以防中招。 综合评分: 65 文章分类: 威胁情报,恶意软件,社会工程学,安全意识


cover_image

伊朗APT Nimbus Manticore(又名UNC1549) 杀疯了!借美伊战争掩护,用AI写病毒、造假Zoom、篡改搜索结果,专盯航空/软件大厂

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年6月8日 11:59 广东

在小说阅读器读本章

去阅读

大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

家人们,中东战火没停,网络战场更激烈!伊朗国家级APT组织Nimbus Manticore(又名UNC1549) 借着2026年2月底美伊冲突的掩护,疯狂加速网络攻击,祭出三大新杀招:AI自动生成恶意软件、伪造Zoom安装包、SEO投毒篡改搜索结果,专盯美国、欧洲、中东的航空、国防、软件大厂,连普通开发者搜索工具都能中招!

一、战争掩护下的三波猛攻:从钓鱼邮件到搜索陷阱,全是套路

伊朗黑客这次完全“趁乱作案”,分三波精准打击,每一招都防不胜防:

  1. 第一波:假工作机会钓鱼,专盯航空员工

战争爆发前,黑客就伪装成沙特、澳大利亚航空企业,发“高薪招聘”钓鱼邮件,附件是带毒ZIP包——看着是微软官方签名的正常程序,实则藏着MiniJunk后门,用.NET程序漏洞偷偷加载恶意DLL,员工一点就中招。

  1. 第二波:假Zoom安装包,精准偷袭

战争初期,黑客换套路:发伪造的Zoom会议邀请,附山寨安装包。这个假安装包高仿正版流程,连Zoom专属定时任务都能监控,安装时偷偷篡改任务,植入新后门MiniFast,全程毫无异常弹窗。

  1. 第三波:SEO投毒,开发者搜软件就中招

停火后,黑客玩起“守株待兔”:注册几十个高仿域名,用SEO黑帽技术把假Oracle数据库工具(SQL Developer) 官网顶到Bing、DuckDuckGo搜索首页。开发者搜工具时,一点就是带毒安装包,自动植入MiniFast后门。

二、AI写的病毒有多狠?MiniFast:全自动化+超强隐蔽

这次核心武器MiniFast后门,堪称“AI黑客神器”——证据显示全程用AI辅助开发,代码细节全是AI生成痕迹:

代码特征太明显:变量名超长、错误处理代码冗余、调试日志密密麻麻,连简单API调用都加多层防护,完全是AI批量生成的风格;

功能拉满:文件窃取、进程控制、权限提升、DLL注入样样行,还能长期潜伏,实时回传数据;

极速迭代:不用苦等程序员写代码,AI几天就能生成新变种,战争期间快速替换旧工具,打了防守方一个措手不及。

三、三大攻击套路拆解:从人到搜索,无孔不入

  1. 假Zoom:以假乱真,安装即沦陷

高仿正版安装界面,图标、步骤一模一样;

安装时监控系统任务,偷偷替换Zoom定时任务,实现开机自启;

全程无异常,杀毒软件难识别,普通员工根本分不清真假。

  1. SEO投毒:搜索结果藏毒,开发者必中招

注册“getqldeveloper[.]com”等高仿域名;

刷外链权重,把假官网顶到搜索前3位;

假页面和官网几乎无差别,下载工具即植入后门。

  1. 假招聘:精准锁定航空/国防员工

伪造大厂HR邮箱,用企业域名发邮件;

附件是“入职资料.zip”,解压即触发漏洞;

专挑航空、国防、软件行业,窃取机密数据。

四、攻击目标+幕后黑手:专盯高价值企业

目标清单:

航空/国防:美国、中东航空公司、军工企业;

软件/科技:数据库、开发工具厂商;

中东重点:以色列、阿联酋企业。

幕后背景:

Nimbus Manticore隶属伊朗伊斯兰革命卫队(IRGC),是伊朗顶级APT组织,长期为政府搜集情报。这次战争期间加速攻击,就是趁乱扩大情报收集范围,AI+SEO的组合拳,明显是升级后的国家级打法。

五、保命防御指南:企业/个人必看

企业端:

  1. 拦截可疑Zoom安装包,仅允许官方渠道下载;

  2. 屏蔽SEO投毒域名,定期更新恶意域名库;

  3. 禁用Office宏,严查外部ZIP附件;

  4. 监控.NET程序异常加载行为,警惕MiniJunk/MiniFast后门。

个人/开发者:

  1. 下载软件只认官网,搜索结果前3位也要核对域名;

  2. 拒绝陌生Zoom邀请,安装前校验数字签名;

  3. 警惕“高薪海外工作”邮件,不随意下载附件。

最后唠两句

伊朗黑客这次把“战争掩护+AI病毒+SEO陷阱”玩到极致,证明国家级攻击越来越“低成本、高隐蔽”。对企业来说,别只防邮件钓鱼,搜索陷阱、山寨软件才是新重灾区;普通用户记住:非官网不下、陌生链接不点、可疑软件不装,就能避开90%的攻击!

加入知识星球,可获取权益

一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?

三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);

四、适合谁?

 想突破职业天花板的安全工程师/架构师;

 需快速落地安全项目的企业负责人;

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《伊朗APT Nimbus Manticore(又名UNC1549) 杀疯了!借美伊战争掩护,用AI写病毒、造假Zoom、篡改搜索结果,专盯航空/软件大厂》

LitCTF2026WP 网络安全文章

LitCTF2026WP

文章总结: 该文档是LitCTF2026的Writeup,涵盖多个Web安全挑战的解题过程。核心要点包括:通过宽字节注入绕过转义实现SQL注入;逆向GoWeb服
AIskills 网络安全文章

AIskills

文章总结: 文档标题为AIskills,由Khan安全团队于2026年6月发布,但正文内容实质性缺失,仅包含小说阅读器跳转提示与图片占位符。全文无具体技术要点、
评论:0   参与:  0