伊朗APT三波连击：AI辅助开发后门首次曝光

作者：韦小宝 | 点滴安全（dripsafe.cn）
日期：2026年5月28日
原创文章，转载需授权

开篇：冲突期间的”加速攻击”

人在江湖飘，哪有不挨刀。但有些刀，是从网上飞过来的。

2026年2月到4月，伊朗伊斯兰革命卫队（IRGC）关联的APT组织 Nimbus Manticore（又名Screening Serpens、UNC1549），在美国-以色列联合军事行动期间，三波连击，攻击不但没停，反而加速。

三个月的攻击时间线，无缝衔接，零暂停。

• 2月：假招聘信息，OnlyOffice托管的恶意ZIP
• 3月：假Zoom会议邀请，木马化安装程序
• 4月：SEO投毒，搜索引擎直接下单

这不是小打小闹，这是APT的工业化运营。

今天这篇文章，小宝我就带大家拆解这三波攻势，看看伊朗黑客是怎么用AI开发后门的，以及——咱们开发者怎么防住这套路。

第一章：事件始末——三波连击时间线

第一波（2026年2月）：战前准备

第一波的目标，是沙特和澳大利亚的软件、航空业员工。

攻击手法： – 诱饵：虚假招聘信息（“高薪诚聘，远程工作”） – 载体：OnlyOffice托管的ZIP文件 – 技术：AppDomain劫持 → MiniJunk DLL

结果：初步渗透，在目标网络建立据点。

第二波（2026年3月）：冲突期间加速

第二波的目标更广泛：航空和软件行业。

攻击手法： – 诱饵：虚假Zoom会议邀请（“请参加XX项目的线上会议”） – 载体：木马化Zoom安装程序 – 技术：AppDomain劫持 → MiniFast（新后门）

关键区别：这次用的是MiniFast后门，AI辅助开发，具有更强的功能和隐蔽性。

第三波（2026年4月）：战术升级——SEO投毒

第三波，目标变成全球开发人员。不再需要精准社工，直接等你自己上钩。

攻击手法： – 诱饵：SEO投毒 → getsqldeveloper[.]com（假Oracle SQL Developer下载页） – 载体：木马化Oracle SQL Developer安装程序 – 技术：搜索引擎优化 → 假网站排名靠前 → 开发者自己搜到自己下载

这是Nimbus Manticore首次使用SEO投毒，意味着他们的攻击从定向攻击升级到了”广撒网”模式。

第二章：MiniFast后门——AI辅助开发的杰作

什么是MiniFast？

MiniFast（又名MiniUpdate），是Nimbus Manticore使用的AI辅助开发后门。Check Point Research和Palo Alto Networks Unit 42联合分析后发现，这个后门具有明显的AI生成特征：

AI辅助开发的特征：

1. 过度的错误处理和防御性编程逻辑
   普通攻击者写代码能跑就行，哪管什么错误处理？MiniFast的代码充满了try-catch和防御性检查——这是AI生成的典型特征。

2. 重复的函数/方法命名模式
   函数名描述性极强，甚至有些冗长。比如UploadResultToC2WithRetryAndLogging()这种东西，AI最喜欢。

3. 多个详细的错误报告字符串
   大量调试风格的状态消息，看起来像是为了方便调试生成的。

4. 简洁的模块化代码组织
   AI生成的代码往往结构清晰，模块化良好。

MiniFast能干什么？

这后门本事不少：

功能清单：
✅ HTTP通信获取远程任务
✅ 上传命令执行结果
✅ 文件外泄
✅ 下载额外载荷
✅ 系统信息收集并beacon回C2
✅ 支持命令：
   - 文件操作（读、写、删除）
   - 目录列表
   - 进程枚举
   - cmd.exe执行
   - DLL加载
   - ZIP创建
   - 计划任务持久化
   - runas提权

关键功能详解

1. HTTP任务轮询
后门会定期向C2服务器发送HTTP请求，获取下一步指令。可以动态调整轮询间隔和抖动值，模拟正常用户行为。

2. 计划任务持久化
通过创建Windows计划任务，实现持久化驻留。重启后依然能恢复控制。

3. runas提权
如果当前用户权限不足，会尝试使用runas以更高权限执行命令。

第三章：SEO投毒新战法——从定向到广撒网

什么是SEO投毒？

SEO投毒（SEO Poisoning），是指攻击者通过搜索引擎优化手段，让自己的恶意网站在搜索结果中排名靠前，等受害者自己搜索并点击下载。

Nimbus Manticore的SEO投毒手法

1. 注册域名
注册数十个与目标软件相关的域名，比如getsqldeveloper[.]com（模仿Oracle SQL Developer官网）。

2. 构建假网站
搭建看起来与官方网站一模一样的下载页面，包含虚假评价、下载按钮。

3. 搜索引擎优化
通过链接农场、关键词堆砌等手段，提升网站在搜索引擎中的排名。

4. 等待猎物
当开发者在Google/Bing搜索”SQL Developer download”时，假网站出现在前几名。

5. 木马化安装程序
真正的Oracle SQL Developer安装程序被植入MiniFast后门，打包上传。

为什么SEO投毒更危险？

江湖险恶，多留心眼——你在Google搜到的第一个”SQL Developer下载链接”，可能就是要你命的陷阱。

第四章：开发者生存指南——如何在搜索中保护自己

黄金法则：只从官方渠道下载

1. 验证域名

官方域名：https://www.oracle.com/database/technologies/instant-client/downloads.html
假域名：  https://getsqldeveloper[.]com（多了gets前缀）

2. 使用包管理器

# Node.js
npm install <package-name>  （从npm官方仓库）
yarn add <package-name>

# Python
pip install <package-name>  （从PyPI）
pip3 install <package-name>

# Go
go get <package-name>       （从pkg.go.dev）

3. 校验文件哈希
官方下载页面通常会提供SHA256哈希，下载后务必校验：

# Linux/macOS
sha256sum downloaded-file.exe

# Windows (PowerShell)
Get-FileHash downloaded-file.exe -Algorithm SHA256

企业级防御

1. DNS过滤
在企业网络中屏蔽已知恶意域名：

getsqldeveloper[.]com → 阻止解析
onlyoffice恶意域名   → 阻止解析

2. 网络代理白名单
限制员工只能从白名单域名下载软件，阻止未经批准的下载。

3. 安全意识培训
定期进行社会工程学模拟培训，让员工识别SEO投毒陷阱。

4. EDR监控
部署终端检测与响应（EDR）解决方案，监控异常进程行为，如： – node.exe后跟powershell.exe – 不明进程访问Chrome加密数据目录 – 异常的HTTP出站连接

结语：江湖险恶，多留心眼

2026年的网络江湖，攻击者的手段越来越智能化、平民化。以前是定向钓鱼，现在连搜索引擎都成了攻击面。

小宝我这篇文章讲了这么多，其实就想告诉大家一件事：

安全不是买保险，是养习惯。

• 下载软件前，瞄一眼域名
• 搜索结果前，点之前动动脑子
• 收到安装程序前，先验验哈希

不要等到服务器被入侵了才后悔莫及。

最后，送大家一句话：

人在江湖飘，哪有不挨刀。但只要多留心眼，至少能少挨几刀。

作者：韦小宝
所属：乾崑盟·天地会
联系方式：dripsafe.cn

💡 往期推荐：
– GitHub供应链攻击：CISA密钥泄露警示录
– NGINX CVE-2026-42945深度解析：18年老洞野外利用
– MuddyWater九国谍战：ChromElevator绕过Chrome加密