Nimbus Manticore: Iranische Hacker infizieren Entwickler per SEO-Poisoning

Staatlich gesteuerte Cyber-Spione nutzen manipulierte Suchergebnisse, um Entwickler und Datenbank-Administratoren zu infizieren.

Die iranische Hackergruppe Nimbus Manticore, die dem Revolutionsgarde (IRGC) zugerechnet wird, hat ihre Taktik grundlegend geändert. Statt auf klassische Phishing-Mails setzen die Angreifer nun auf SEO-Poisoning – die gezielte Manipulation von Suchmaschinen-Rankings. Das berichten Sicherheitsforscher von HEAL Security und GBHackers.

Die rasanten Entwicklungen bei KI-gestützten Cyberangriffen und neue gesetzliche Vorgaben stellen Unternehmen vor enorme Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber Security Guide anfordern

Die Masche ist perfide: Die Gruppe erstellte eine gefälschte Website (getsqldeveloper[.]com), die wie eine offizielle Download-Seite für SQL-Software aussieht. Durch aggressive Suchmaschinenoptimierung – darunter tausende Backlinks und Keyword-Stuffing – schaffte es die Seite bei Bing und DuckDuckGo in die Top-Ergebnisse.

MiniFast: Die neue Schadsoftware im Detail

Zwischen Februar und April 2026 lockte die Kampagne, die Teil der größeren Operation Epic Fury ist, ahnungslose Entwickler auf die präparierte Seite. Wer das vermeintliche Tool herunterlud, installierte stattdessen eine neue Schadsoftware namens MiniFast.

Die 64-Bit-DLL-Backdoor ersetzt das ältere MiniJunk-Framework und ist auf Langzeitspionage ausgelegt. MiniFast kann:
- Befehle aus der Ferne ausführen
- Dateien hoch- und herunterladen
- Dauerhaften Zugriff auf das System sichern

Zur Tarnung prüft die Malware, ob typische Systemprozesse wie update.exe oder svchost.exe laufen. Die Kommunikation mit den Kommando-Servern tarnt sich als legitimer Google-Chrome-Traffic. Besonders brisant: Sicherheitsanalysten sehen im Code Hinweise auf KI-gestützte Entwicklung – ein wachsender Trend bei staatlichen Hackergruppen.

KI-Köder und Lieferketten-Attacken

Die Entwicklung beschränkt sich nicht auf iranische Akteure. Im Mai 2026 häufen sich Fälle, in denen finanzkriminelle Gruppen gefälschte Installer für KI-Plattformen wie Gemini und Claude Code erstellen. Die Opfer werden aufgefordert, einen PowerShell-Befehl auszuführen – und installieren so einen fileless Infostealer, der Browser-Zugangsdaten, Cookies, VPN-Schlüssel und lokale Dateien stiehlt.

Noch einen Schritt weiter geht die Kampagne TrapDoor: Sie zielt gezielt auf Entwickler in den Bereichen KI, Kryptowährungen und DeFi (dezentrale Finanzen). Die Angreifer platzierten 34 schädliche Pakete mit 384 verschiedenen Versionen in den Paketverwaltungen npm, PyPI und Crates.io. Diese Pakete stehlen SSH-Keys, Cloud-Zugangsdaten, GitHub-Tokens und Krypto-Wallets.

Infrastruktur auf neuem Niveau

Die technische Raffinesse der Angreifer ist beachtlich. Nimbus Manticore nutzt AppDomainManager-Hijacking, um die Windows-Ereignisprotokollierung zu deaktivieren und Signaturprüfungen zu umgehen. Die Kommando-Server laufen auf Azure und tarnen sich als legitime Gesundheits- oder Finanzdienstleister.

Die schiere Größe der Bedrohung zeigt ein weiterer Fall: Das CypherLoc-Scareware-Kit wurde für rund 2,8 Millionen Angriffe genutzt. Es lockt Opfer per Phishing auf verschlüsselte JavaScript-Seiten, die nach Entschlüsselung eine gefälschte Microsoft-Support-Warnung anzeigen.

Während Hacker immer raffiniertere Methoden wie SEO-Poisoning nutzen, müssen Firmen ihre IT-Abwehr ohne große Budgets zukunftssicher aufstellen. Erfahren Sie in diesem Gratis-E-Book, wie Sie Sicherheitslücken schließen und aktuelle Bedrohungen effektiv abwenden. IT-Sicherheits-Checkliste kostenlos herunterladen

Gefährliches Zeitfenster durch Google-Update

Die SEO-Vergiftung fällt mit einem turbulenten Moment für die Suchmaschinen zusammen. Google rollte am 21. Mai sein Core-Update aus, das am Wochenende vom 23. bis 25. Mai voll wirksam wurde. SEO-Experten berichten von massiven Verschiebungen: Manche legitime Seiten verloren bis zu 50 Prozent ihres Traffics, andere gewannen 30 Prozent dazu.

Diese Volatilität öffnet ein gefährliches Zeitfenster für Angreifer. Während die Algorithmen neu justieren, können manipulierte Seiten leichter in die Top-Positionen rutschen.

Alarmierende Reaktionsgeschwindigkeit

Die Bedrohungslage wird durch die rasche Ausnutzung bekannter Schwachstellen verschärft. Am 22. Mai 2026 nahm die US-Cybersicherheitsbehörde CISA eine kritische SQL-Injection-Lücke in Drupal Core (CVE-2026-9082) in ihren Katalog bekannter Schwachstellen auf. Innerhalb von 48 Stunden nach Veröffentlichung des Patches registrierten Sicherheitsexperten über 15.000 Angriffe auf 6.000 Websites in 65 Ländern.

Was Unternehmen jetzt tun müssen

Der Trend ist eindeutig: Die traditionelle Annahme, dass Suchergebnisse sicher seien, wird zur Gefahr. Besonders Entwickler rücken ins Visier, da sie oft privilegierte Zugänge zu Quellcode und Cloud-Umgebungen haben.

Sicherheitsexperten empfehlen eine Zero-Trust-Architektur, die Suchmaschinen-Traffic keine automatische Vertrauenswürdigkeit einräumt. Die Reaktionszeiten schrumpfen dramatisch: Moderne Erkennungssysteme wie Socket identifizieren schädliche Pakete bereits im Median nach fünf Minuten und 30 Sekunden nach Veröffentlichung.

Das FBI empfiehlt nach der Kali365-Phishing-Kampagne im April 2026 zudem die automatische Rotation von Maschinenschlüsseln und die Einschränkung von Device-Code-Flows. Die Zeit für manuelle Eingriffe läuft ab – wer seine Abwehr nicht automatisiert, wird zum leichten Ziel.

de | wissenschaft | 69418835 |