CPR har hatt Nimbus Manticore på radaren i flere måneder og mener gruppen, som tidligere har vært mest fokusert på Midtøsten, nå har rettet seg mot forsvars-, telekom- og luftfartsselskaper i Europa.
Gruppen bruker ifølge CPR falske nettsteder og skreddersydd, presist målrettet phishing for å lure mottakere til å laste ned ondsinnede filer. Nettsidene utgir seg gjerne for å være rekrutteringsportaler for kjente lokale og globale selskaper. I løpet av det siste året skal gruppen ha utviklet nye verktøy, inkludert MiniJunk- og MiniBrowse-skadevare, som gjemmer seg i mottakernes systemer for å opprettholde langsiktig tilgang og stjele data.
Kampanjene er ifølge CPR godt planlagt og samsvarer med metoder mye brukt av den iranske revolusjonsgarden (IRGC) for å samle etterretning fra forsvarsleverandører i perioder med forhøyet geopolitisk spenning.
– Dette er et av mange eksempler på cyberaktivitet, ofte statsstøttet, som intensiveres i tider med mye geopolitisk uro. Akkurat som for tradisjonell cyberkriminalitet for økonomisk vinning, blir metodene stadig mer avanserte. I tillegg til årvåkenhet og avanserte sikkerhetsløsninger, er det nå nødvendig å holde løpende oversikt over disse miljøenes aktivitet for å beskytte seg, sier norgessjef Kjetil Ore i cybersikkerhetsselskapet Check Point Software.
Global
