Rápido y furioso: Operaciones del Nimbus Manticore durante el conflicto iraní

Bogotá, mayo 22 de 2026 – CPR acaba de publicar un nuevo informe sobre amenazas relacionado con
Nimbus Manticore, un grupo de ciberdelincuentes vinculado a la Guardia Revolucionaria Islámica (IRGC). Han
lanzado una nueva campaña que utiliza señuelos maliciosos para suplantar la identidad de organizaciones de
los sectores de aviación y software en Estados Unidos, Europa y Oriente Medio.
Lo más interesante: por primera vez, CPR ha observado el uso de la manipulación de SEO como método
adicional de distribución de malware.
Tras la noticia publicada hoy por CNN sobre los ataques de hackers iraníes contra aerolíneas y petroleras,
Check Point Research presenta hallazgos que profundizan en tres aspectos de interés para sus lectores.
1. Desarrollo de malware acelerado por IA: por primera vez, tenemos pruebas de que Nimbus Manticore,
afiliado a la IRGC, utilizó herramientas de IA/LLM para desarrollar malware durante el conflicto. El código
muestra indicios reveladores: una estructura inusualmente modular, un manejo excesivo de errores y
nombres de funciones muy extensos. Parece que utilizan IA para actuar con mayor rapidez y mantener el
ritmo operativo incluso bajo la presión de la guerra.
2. Envenenamiento SEO dirigido a desarrolladores comunes: Además del phishing dirigido a empleados del
sector aeronáutico, el grupo lanzó una tercera oleada de ataques que no tenía nada que ver con ofertas de
empleo falsas: crearon una página de descarga falsa y convincente para la popular herramienta de bases de
datos SQL Developer y la optimizaron para SEO, logrando que apareciera en los primeros puestos de los
resultados de Bing y DuckDuckGo. Cualquier desarrollador que buscara el software podría haber sido
víctima. Esto amplía drásticamente el alcance de la amenaza más allá de lo que se ha informado.
3. Tres oleadas de campaña distintas: El informe de CNN refleja una sola campaña. Check Point Research
rastreó tres oleadas distintas entre febrero y abril (preparación previa al conflicto, operaciones activas
durante la Operación Epic Fury y una ofensiva posterior al alto el fuego), lo que demuestra que este grupo
nunca cesó sus actividades.
Según Sergey Shykevich, gerente del Grupo de Inteligencia de Amenazas de Check Point Research: «Lo que
destaca es que las ambiciones de este grupo iban mucho más allá del espionaje selectivo en Oriente Medio.
Encontramos fuertes indicios de que Nimbus Manticore utilizó herramientas de IA para desarrollar malware
con mayor rapidez. Crearon e implementaron una nueva puerta trasera en pleno conflicto, mientras las
operaciones estaban en marcha. También rastreamos una tercera oleada de campaña con una estrategia
completamente diferente: el envenenamiento SEO. Crearon una página falsa de descarga de SQL Developer
y la posicionaron en los primeros puestos de Bing y DuckDuckGo; sin spearphishing, sin ofertas de trabajo
falsas, simplemente esperando a que un desarrollador buscara software común. Y al analizar las tres oleadas
en conjunto, de febrero a abril, no hubo pausa. El conflicto no los ralentizó, sino que los aceleró».
Consulte: https://research.checkpoint.com/2026/fast-and-furious-nimbus-manticore-operations-during-the-
iranian-conflict/

‍Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo
de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo

©2026 Check Point Software Technologies Ltd. All rights reserved | P. 2​

que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado
por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un líder mundial en ciberseguridad que protege a más de 100.000 organizaciones en todo el mundo. Su
misión es asegurar la transformación de IA de las empresas. Basada en un enfoque de prevención prioritaria y una arquitectura de ecosistema
abierto, Check Point ayuda a las organizaciones a reducir riesgos, simplificar operaciones e innovar con confianza. La arquitectura de seguridad
unificada se adapta continuamente a las amenazas en evolución y a la expansión de las superficies de ataque de IA, protegiendo redes híbridas,
entornos en la nube, espacios de trabajo digitales y sistemas de IA. Estructurada en torno a cuatro pilares estratégicos: seguridad de redes de malla
híbrida, seguridad de espacios de trabajo, gestión de la exposición y seguridad de IA, Check Point ofrece protección y visibilidad consistentes en toda
la red.
©2026 Check Point Software Technologies Ltd. Todos los derechos reservados.
Aviso legal sobre declaraciones prospectivas
Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a
nuestro desempeño financiero u operativo futuro. Las declaraciones prospectivas incluidas en este comunicado de prensa incluyen, pero no se
limitan a, declaraciones relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point Software en
la industria, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo.
Nuestras expectativas y creencias sobre estos temas pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e
incertidumbres que podrían hacer que los resultados reales o los eventos difieran significativamente de los proyectados.
Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos
descritos con mayor detalle en nuestros archivos ante la Comisión de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F
presentado ante la SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información disponible
para Check Point Software a la fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración
prospectiva, salvo que lo exija la ley.