Check Point detalha operações do grupo Nimbus Manticore contra setores de aviação e software nos Estados Unidos, Europa e Oriente Médio
A equipe da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, divulgou relatório detalhando operações recentes do grupo Nimbus Manticore, associado à Guarda Revolucionária Islâmica do Irã (IRGC – Islamic Revolutionary Guard Corps), durante o contexto do conflito regional no Oriente Médio.
Os pesquisadores apontam campanhas direcionadas aos setores de aviação e software em países da Europa e de Oriente Médio e nos Estados Unidos, além de uma nova onda de ataques baseada em envenenamento de SEO (SEO poisoning) ou manipulação de resultados de busca.
Segundo a equipe da CPR, o grupo operou em pelo menos três ondas distintas de campanha entre fevereiro e abril de 2026, incluindo fases anteriores ao conflito, operações durante a chamada Operation Epic Fury (Operação Fúria Épica) e atividades posteriores ao cessar-fogo.
Entre os principais resultados do relatório está a identificação, pela primeira vez, do uso de envenenamento de SEO como vetor adicional de distribuição de malware pelo grupo. Em vez de depender exclusivamente de spear phishing e falsas ofertas de emprego, os operadores criaram páginas falsas de download de softwares amplamente utilizados e otimizaram esses conteúdos para aparecerem entre os primeiros resultados de mecanismos de busca como Bing e DuckDuckGo.
A CPR também identificou indícios compatíveis com práticas de desenvolvimento de malware assistidas por inteligência artificial. Os pesquisadores observaram características como estruturas altamente modulares, nomenclaturas excessivamente descritivas e tratamento extensivo de erros, elementos que podem indicar apoio de ferramentas baseadas em IA no desenvolvimento do código malicioso.
“Um dos pontos mais relevantes é que as ambições desse grupo foram muito além da espionagem direcionada no Oriente Médio. Identificamos fortes indícios de práticas de desenvolvimento assistido por IA para acelerar a criação de malware. O grupo construiu e implantou um novo backdoor enquanto as operações ainda estavam em andamento”, afirma Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças na Check Point Research.
Segundo o executivo, a terceira onda de campanha chamou atenção pelo uso de uma abordagem completamente diferente das anteriores. “Também rastreamos uma terceira onda baseada em SEO poisoning. Os operadores criaram uma página falsa de download de software e a posicionaram entre os principais resultados de busca do Bing e do DuckDuckGo. Nesse modelo, não há spear phishing ou falsa oferta de emprego, pois o ataque depende apenas de o usuário buscar um software legítimo”, explica Shykevich.
O relatório ainda destaca que as campanhas demonstraram continuidade operacional ao longo de todo o período analisado.
“Quando analisamos as três ondas de campanha em conjunto, entre fevereiro e abril, fica claro que as operações não desaceleraram durante o conflito. Pelo contrário, os indícios apontam para uma aceleração das atividades”, conclui Shykevich.
A íntegra da pesquisa “Fast and Furious – Nimbus Manticore Operations During the Iranian Conflict” (Velozes e Furiosos – Operações da Nimbus Manticore durante o conflito iraniano) está disponível no site da Check Point Research.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd é protagonista global em cibersegurança, protegendo mais de 100.000 organizações em todo o mundo. Sua missão é proteger a transformação de IA das empresas. Com uma abordagem de prevenção em primeiro lugar e uma arquitetura de ecossistema aberto, a Check Point apoia as organizações a bloquear ameaças avançadas, priorizar exposições e automatizar operações de segurança em ambientes digitais complexos.
Robert Half aponta ascensão do CAIDO, CINO e CTRO e apresenta o redesenho do C-Level até 2035
Ingram Micro e Arctic Wolf: SOC-as-a-Service com foco em resposta rápida e redução de riscos
Check Point aposta em IA autônoma para gerenciamento de segurança de redes
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
