Iranische APT nutzt SEO-Poisoning für gefälschten SQL-Entwickler-Malware-Installer

Eine bekannte iranische Bedrohungsgruppe hat einen neuen Weg gefunden, Malware auf die Systeme Phishing-E-Mails zu versenden, erstellte die Gruppe eine gefälschte Website, die eine Eine bekannte iranische Bedrohungsgruppe hat einen neuen Weg gefunden, Malware auf die Systeme Phishing-E-Mails zu versenden, erstellte die Gruppe eine gefälschte Website, die eine echte Download-Seite für Datenbanksoftware nachahmte, und nutzte Suchmaschinen-Tricks, um diese Seite nahe der Spitze der Suchergebnisse zu platzieren.

Jeder, der online nach dem Tool suchte und auf den falschen Link klickte, verließ die Seite mit einem still installierten Backdoor auf seinem System. Die Gruppe hinter dieser Aktivität ist Nimbus Manticore, die auch als UNC1549 bekannt ist, und sie operiert Auftrag der iranischen Revolutionsgarden (IRGC).

Die Gruppe hat eine lange Geschichte darin, Software- und Luftfahrtprofis durch karrierebezogene Phishing-Angebote anzugreifen. Was diese neueste Welle unterscheidet, ist die Nutzung, etwas, das Forscher bisher bei dieser Gruppe nicht beobachtet haben.

Analysten diese Aktivitäten in drei Wellen zwischen Februar und April 2026, zeitgleich und nach dem US-Militäroperation gegen den Iran, bekannt als Operation Epic Fury. Wie Check Point in einem Bericht gegenüber