De Iraanse, aan de IRGC gelieerde dreigingsactor Nimbus Manticore dook opnieuw op tijdens Operation Epic Fury, de Amerikaanse militaire campagne tegen Iran die op 28 februari 2026 van start ging. Tijdens deze campagne werden nieuwe technieken en verbeterde capaciteiten ingezet. De aanvallen maakten gebruik van kwaadaardige lokmiddelen die zich voordeden als organisaties uit de luchtvaart- en softwaresector in de Verenigde Staten, Europa en het Midden-Oosten. Voor het eerst werd SEO-poisoning toegepast als extra methode om malware te verspreiden. Ook introduceerde de groep een tot dan toe onbekende backdoor, MiniFast, die lijkt te zijn ontwikkeld met behulp van AI-ondersteunde methoden. Dit stelde de dreigingsactor in staat om snel nieuwe tools te ontwikkelen en aan te passen, terwijl de operationele beschikbaarheid tijdens het conflict hoog bleef. Daarnaast werd het uitvoeringsproces van een Zoom-installatieprogramma misbruikt om een tijdgevoelige infectieketen te creëren, waarbij de malware zich vermomde als legitieme systeemactiviteit.

Tijdens de recente geopolitieke spanningen in het Midden-Oosten rapporteerden onderzoekers over meerdere Iraanse dreigingsactoren die via cyberoperaties de strategische doelen van Iran nastreefden. Deze activiteiten omvatten het aanvallen van internetverbonden camera’s, destructieve aanvallen op Amerikaanse en Israëlische doelen, en het exfiltreren van data uit cloudomgevingen ter ondersteuning van bredere kinetische en inlichtingeninspanningen. Nimbus Manticore, ook bekend als UNC1549, richt zich voornamelijk op de defensie-, luchtvaart- en telecommunicatiesector via phishingcampagnes met carrièregerichte lokmiddelen. Deze groep onderscheidt zich door een complex malware-arsenaal. In 2025 werd het MiniJunk-malwareframework door Nimbus Manticore ingezet tegen hooggeplaatste organisaties in West-Europa en het Midden-Oosten. In de recente campagne werden nieuwe technieken toegepast, waaronder AppDomain Hijacking, AI-ondersteunde malwareontwikkeling en SEO-poisoning.

In februari 2026, te midden van oplopende spanningen tussen de VS, Israël en Iran en weken van militaire opbouw, werd nieuwe phishingactiviteit van Nimbus Manticore wereldwijd waargenomen. Hierbij werd een aangepaste infectieketen ingezet waarbij AppDomain Hijacking werd misbruikt voor uitvoering, in plaats van de gebruikelijke DLL-sideloadingtechnieken. AppDomain Hijacking maakt gebruik van legitieme .NET-toepassingen die bij het opstarten een kwaadaardige DLL laden via een Trojanized XML-configuratiebestand. Dit bestand, met dezelfde naam als de doelapplicatie en de extensie .config, verwijst naar een door de aanvaller gecontroleerde AppDomainManager-klasse die de kwaadaardige DLL aanwijst. Hierdoor wordt de malware uitgevoerd binnen de context van een vertrouwd proces, wat detectie bemoeilijkt. De phishinglokmiddelen waren consistent met eerdere campagnes en richtten zich op medewerkers van geselecteerde organisaties, voornamelijk in de software- en luchtvaartsector.