Nel 2026 una nuova campagna di cyber espionage attribuita a un gruppo iraniano ha mostrato un salto di qualità nelle tecniche di infezione e nella distribuzione del malware. Gli attaccanti hanno preso di mira organizzazioni e dipendenti dei settori difesa, aviazione, telecomunicazioni e software in Stati Uniti, Europa e Medio Oriente, sfruttando esche di phishing molto credibili legate a offerte di lavoro e inviti a riunioni online.
Questo approccio punta a far avviare alla vittima la catena di infezione, aprendo la strada a compromissioni più ampie nella rete aziendale.
Il cuore dell’operazione ruota attorno a due famiglie di malware. MiniJunk, evoluto poi in MiniJunk V2, viene distribuito tramite una tecnica chiamata AppDomain hijacking: un eseguibile apparentemente legittimo carica una DLL malevola, rendendo più difficile individuare l’attività sospetta. In una prima ondata, le vittime sono state indotte a scaricare archivi ZIP ospitati su servizi di collaborazione documentale, mascherati da materiali di selezione o colloqui.
La seconda fase ha introdotto MiniFast, una backdoor progettata per persistenza a lungo termine e controllo remoto. In alcuni casi la catena di attacco includeva anche un installer di Zoom trojanizzato, usato come passaggio per attivare il caricamento del payload tramite AppDomain hijacking. Sono emersi inoltre segnali di sviluppo assistito da intelligenza artificiale, con codice molto verboso, gestione errori eccessiva, pattern di naming ripetitivi e messaggi di debug dettagliati, elementi che possono indicare l’uso di strumenti AI per accelerare la scrittura del malware.
La terza ondata ha segnato un cambio di strategia con SEO poisoning. Gli attaccanti hanno creato una falsa pagina di download per un software diffuso tra gli sviluppatori, spingendola in alto nei risultati di motori di ricerca tramite la registrazione di numerosi domini e link di supporto. Chi cercava il programma veniva reindirizzato a un installer malevolo in grado di distribuire MiniFast senza bisogno di spearphishing.
MiniFast comunica via HTTP con un server di comando e controllo per ricevere task, caricare risultati, esfiltrare file e scaricare altri payload. Supporta comandi per operazioni su file e cartelle, elenco processi, esecuzione comandi con cmd.exe, terminazione processi, caricamento DLL, creazione archivi ZIP, persistenza con attività pianificate e persino escalation privilegi con runas, includendo jitter e intervalli variabili per rendere meno prevedibile il beaconing.