Rápido y furioso: Operaciones del Nimbus Manticore durante el conflicto iraní
Bogotá, mayo 25 de 2026 – CPR acaba de publicar un nuevo informe sobre amenazas relacionado con Nimbus Manticore, un grupo de ciberdelincuentes vinculado a la Guardia Revolucionaria Islámica (IRGC). Han lanzado una nueva campaña que utiliza señuelos maliciosos para suplantar la identidad de organizaciones de los sectores de aviación y software en Estados Unidos, Europa y Oriente Medio.
Lo más interesante: por primera vez, CPR ha observado el uso de la manipulación de SEO como método adicional de distribución de malware.
Tras la noticia publicada hoy por CNN sobre los ataques de hackers iraníes contra aerolíneas y petroleras, Check Point Research presenta hallazgos que profundizan en tres aspectos de interés para sus lectores.
1. Desarrollo de malware acelerado por IA: por primera vez, tenemos pruebas de que Nimbus Manticore, afiliado a la IRGC, utilizó herramientas de IA/LLM para desarrollar malware durante el conflicto. El código muestra indicios reveladores: una estructura inusualmente modular, un manejo excesivo de errores y nombres de funciones muy extensos. Parece que utilizan IA para actuar con mayor rapidez y mantener el ritmo operativo incluso bajo la presión de la guerra.
2. Envenenamiento SEO dirigido a desarrolladores comunes: Además del phishing dirigido a empleados del sector aeronáutico, el grupo lanzó una tercera oleada de ataques que no tenía nada que ver con ofertas de empleo falsas: crearon una página de descarga falsa y convincente para la popular herramienta de bases de datos SQL Developer y la optimizaron para SEO, logrando que apareciera en los primeros puestos de los resultados de Bing y DuckDuckGo. Cualquier desarrollador que buscara el software podría haber sido víctima. Esto amplía drásticamente el alcance de la amenaza más allá de lo que se ha informado.
3. Tres oleadas de campaña distintas: El informe de CNN refleja una sola campaña. Check Point Research rastreó tres oleadas distintas entre febrero y abril (preparación previa al conflicto, operaciones activas durante la Operación Epic Fury y una ofensiva posterior al alto el fuego), lo que demuestra que este grupo nunca cesó sus actividades.
Según Sergey Shykevich, gerente del Grupo de Inteligencia de Amenazas de Check Point Research: «Lo que destaca es que las ambiciones de este grupo iban mucho más allá del espionaje selectivo en Oriente Medio. Encontramos fuertes indicios de que Nimbus Manticore utilizó herramientas de IA para desarrollar malware con mayor rapidez. Crearon e implementaron una nueva puerta trasera en pleno conflicto, mientras las operaciones estaban en marcha. También rastreamos una tercera oleada de campaña con una estrategia completamente diferente: el envenenamiento SEO. Crearon una página falsa de descarga de SQL Developer y la posicionaron en los primeros puestos de Bing y DuckDuckGo; sin spearphishing, sin ofertas de trabajo falsas, simplemente esperando a que un desarrollador buscara software común. Y al analizar las tres oleadas en conjunto, de febrero a abril, no hubo pausa. El conflicto no los ralentizó, sino que los aceleró».
