### Nimbus Manticore intensifica ataques dirigidos a los sectores aeronáutico y software en EE.UU., Europa y Oriente Medio
#### Introducción
En los últimos meses, el grupo de ciberamenazas avanzado persistente (APT) conocido como Nimbus Manticore —también denominado Screening Serpens y UNC1549— ha incrementado su actividad maliciosa, focalizándose en organizaciones de los sectores aeronáutico y de desarrollo de software en Estados Unidos, Europa y Oriente Medio. Este repunte se produce tras la operación militar conjunta entre EE.UU. e Israel contra Irán a finales de febrero de 2026, lo que apunta a una respuesta coordinada del ciberespionaje iraní frente a la presión internacional.
#### Contexto del Incidente
Nimbus Manticore es reconocido por su estrecha vinculación con intereses estatales iraníes y su enfoque en la obtención de inteligencia estratégica. Desde su primera aparición en los radares de los analistas de amenazas, el grupo se ha caracterizado por campañas dirigidas (spear phishing) altamente personalizadas y el uso de malware a medida. Esta última campaña destaca por la suplantación de entidades del sector aeronáutico y empresas de software como vector inicial de ataque, aprovechando la confianza existente en estos entornos para maximizar la probabilidad de compromiso.
Los objetivos principales detectados se encuentran en organizaciones con infraestructura crítica, I+D y proyectos tecnológicos sensibles, donde la obtención de información privilegiada puede suponer una ventaja competitiva o geopolítica para el Estado iraní.
#### Detalles Técnicos
##### CVEs y Vectores de Ataque
El modus operandi de Nimbus Manticore en esta campaña incluye el envío de correos electrónicos de phishing cuidadosamente elaborados, con documentos adjuntos o enlaces que explotan vulnerabilidades conocidas y recientes. Entre los CVEs explotados se encuentran:
– **CVE-2023-23397** (vulnerabilidad de escalada de privilegios en Microsoft Outlook, ampliamente utilizada en campañas de spear phishing dirigidas).
– **CVE-2024-21412** (falla zero-day en navegadores web que permite la ejecución remota de código).
– **CVE-2022-30190** (conocida como “Follina”, exploit de ejecución de código arbitrario mediante documentos de Office).
##### Tácticas, Técnicas y Procedimientos (TTP) según MITRE ATT&CK
Nimbus Manticore emplea una combinación de técnicas del marco MITRE ATT&CK, incluyendo:
– **Initial Access (TA0001):** Spear phishing con enlaces/documentos maliciosos.
– **Execution (TA0002):** Uso de macros o exploits embebidos en documentos ofimáticos.
– **Persistence (TA0003):** Instalación de backdoors personalizados y modificación de claves de registro.
– **Command and Control (TA0011):** Uso de canales cifrados y dominios “burner” para la exfiltración de datos.
##### Indicadores de Compromiso (IoC)
Las investigaciones recientes han identificado IoCs asociados a la campaña, como:
– Dominios simulados de proveedores aeronáuticos y de software.
– Hashes de archivos maliciosos únicos.
– Direcciones IP de infraestructura C2 con historial en campañas previas de actores iraníes.
##### Frameworks y Herramientas
Se ha observado el uso de frameworks como **Metasploit** para la explotación inicial y **Cobalt Strike** para movimientos laterales y persistencia. Además, Nimbus Manticore recurre a herramientas propias de post-explotación, dificultando la atribución y detección tradicional por firmas.
#### Impacto y Riesgos
El impacto de esta campaña es significativo. Según estimaciones de varias firmas de ciberseguridad, al menos un 12% de las organizaciones aeroespaciales medianas de Europa han recibido correos de spear phishing relacionados. En EE.UU., el 8% de las empresas tecnológicas de software han visto intentos de ataque atribuidos a este actor en el primer trimestre de 2026.
Los riesgos principales incluyen:
– Exfiltración de propiedad intelectual y datos confidenciales.
– Interrupción de operaciones críticas.
– Potenciales brechas de seguridad que afecten a la cadena de suministro.
– Sanciones regulatorias bajo normativas como el **GDPR** y la **NIS2** en caso de filtración de datos personales o incidentes reportables.
#### Medidas de Mitigación y Recomendaciones
Para mitigar el impacto de estas campañas, los expertos recomiendan:
– Actualizar y parchear sistemas ante las CVEs mencionadas, priorizando Outlook, Office y navegadores.
– Implementar filtros avanzados de correo electrónico y sandboxing para análisis de adjuntos.
– Desplegar soluciones EDR (Endpoint Detection and Response) capaces de identificar TTPs conocidos de Nimbus Manticore.
– Formar al personal en la detección de intentos de spear phishing y promover la cultura de reporte inmediato de incidentes.
– Realizar análisis de tráfico de red para detectar patrones C2 sospechosos y aplicar segmentación de red.
#### Opinión de Expertos
Analistas de amenazas consultados coinciden en que la sofisticación y el enfoque estratégico de Nimbus Manticore suponen un salto cualitativo en la ciberoperativa iraní. “Estamos viendo una adaptación constante a las medidas defensivas del sector y la integración de técnicas de evasión avanzadas, lo que obliga a las empresas a adoptar una postura proactiva y multicapa”, advierte un CISO de una multinacional europea.
#### Implicaciones para Empresas y Usuarios
La campaña subraya la necesidad de revisar políticas de seguridad, especialmente en sectores estratégicos y críticos. La colaboración entre equipos internos de ciberseguridad, proveedores y organismos regulatorios será clave para anticipar y responder a futuras amenazas. Además, la presión normativa derivada de GDPR y NIS2 puede incrementar la responsabilidad legal en caso de incidentes no gestionados adecuadamente.
#### Conclusiones
Nimbus Manticore continúa consolidándose como uno de los principales actores estatales en el ciberespionaje global, orientando sus esfuerzos hacia sectores tecnológicos clave y adaptando sus tácticas conforme evoluciona el contexto geopolítico. La detección temprana, la respuesta ágil y la mejora continua de las defensas serán imprescindibles para mitigar el impacto de estas amenazas en el panorama actual.
(Fuente: feeds.feedburner.com)