Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd., pionero y líder global en soluciones de ciberseguridad, alerta sobre la expansión a Europa de Nimbus Manticore, un grupo de amenazas persistentes avanzadas (APT) vinculado al Estado iraní y también conocido como UNC1549 o Smoke Sandstorm.

Históricamente centrado en Oriente Medio, Nimbus Manticore ha redirigido ahora sus operaciones hacia Europa Occidental, con campañas dirigidas a contratistas de defensa, empresas de telecomunicaciones y organizaciones aeroespaciales en Dinamarca, Suecia y Portugal.

La investigación de Check Point Research detalla cómo se articulan estas campañas, destacando las técnicas y herramientas empleadas por el grupo:
· Uso de portales falsos de empleo: los atacantes crean páginas de inicio de sesión personalizadas que imitan a Boeing, Airbus, Rheinmetall o flydubai. Cada víctima recibe credenciales únicas para acceder y descargar archivos maliciosos, demostrando una fuerte disciplina operativa (OPSEC).
· Malware evolucionado: el grupo ha desarrollado nuevas variantes como MiniJunk, que mantiene acceso prolongado y utiliza técnicas inéditas de DLL sideloading, y MiniBrowse, centrado en el robo de credenciales desde navegadores Chrome y Edge.
· Infraestructura resiliente: las campañas migran de servidores tradicionales a servicios en la nube (Azure App Service y Cloudflare) que refuerzan el anonimato y la redundancia.
· Campañas paralelas: además de MiniJunk, Check Point Research ha observado clusters de actividad con cargas más ligeras pero que replican la misma estrategia de engaño mediante spear phishing y supuestas ofertas de empleo en LinkedIn y Outlook.
· Sectores prioritarios: las campañas están alineadas con las prioridades de inteligencia de la Guardia Revolucionaria Islámica de Irán (IRGC), con especial interés en contratistas de defensa, telecomunicaciones (incluidos proveedores satelitales), aeroespacial y aerolíneas.

El desarrollo de MiniJunk y MiniBrowse confirma que Nimbus Manticore avanza hacia una mayor sofisticación técnica, combinando ingeniería de malware avanzada con tácticas de espionaje creíbles y difíciles de detectar. La expansión hacia Europa se produce en un contexto de alta tensión geopolítica y refleja una campaña de ciberespionaje estratégica y de largo plazo.

“La última campaña de Nimbus Manticore supone un salto cualitativo en la forma en que los actores vinculados a estados combinan malware sofisticado con infraestructuras avanzadas para operar contra objetivos sensibles en Europa”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “En este entorno, una estrategia de seguridad basada en la prevención y guiada por inteligencia de amenazas ya no es opcional: es la única manera de adelantarse a adversarios que innovan constantemente.”

Check Point Research recomienda un enfoque de seguridad multinivel que combine Check Point Harmony Email & Collaboration, defensa de los dispositivos mediante Harmony Endpoint y bloqueo del tráfico malicioso en la red con Quantum Network Security. De esta forma, las organizaciones pueden frenar intentos de spear phishing, malware avanzado y exfiltración de datos. El equipo de investigación continuará monitorizando las operaciones de Nimbus Manticore para reforzar la resiliencia de sus clientes frente a campañas de ciberespionaje estatales.